Загадочный ботнет устройств интернета вещей оказался анонимайзером — Naked Science
7 минут
Василий Парфенов
1

Загадочный ботнет устройств интернета вещей оказался анонимайзером

Специалисты по кибербезопасности на протяжении нескольких месяцев отслеживали уникальную сеть зараженных устройств (ботнет), радикально отличающуюся ото всех ранее обнаруженных аналогов. Они пришли к выводу, что ее уникальность не только в структуре жертв и языке программирования, на котором написаны исполняемые файлы, но и в предназначении — по всем признакам это секретный анонимайзер, похожий на TOR.

©Bitdefender

Около полугода назад специальные сервера-приманки (honeypot, «горшочек с медом» или «ханипот») компании Bitdefender зафиксировали возросшую активность весьма специфических атакующих программных роботов. От обычных «зловредов», превращающих компьютеры и сетевые устройства в звенья ботнета, они отличались языком программирования. Обычно подобные программы пишут на C, C++ или Pearl, но эти были сделаны на Go.

Помимо этой аномалии, исследователей привлекло и не вполне ясное назначение созданной хакерами сети. Как правило, ботнеты создают для прозаичных киберпреступлений: либо массированных атак типа «отказ в обслуживании» (DoS), либо для выполнения ресурсоемких вычислений, например майнинга криптовалют. Безусловно, кроме этого, почти каждая подобная сеть зараженных устройств выполняет задачи самообеспечения — координацию действий узлов, рассылку вредоносного ПО и сбор данных для последующих атак, но они не являются основной целью.

Обнаруженный специалистами Bitdefender ботнет Interplanetary Storm вел себя совсем нетипично, и они занялись его пристальным изучением. Интригующий отчет об этой работе был опубликован в четверг, 15 октября, на официальном сайте компании. Исследователи пришли к выводу, что, судя по поведению сети, она представляет собой сложный и достаточно продвинутый распределенный сервис по обеспечению анонимности клиентов для удаленных интернет-ресурсов (анонимайзер).

Язык программирования Go
©Google

И слово «клиент» здесь неслучайно — у ботнета обнаружили все признаки коммерческого продукта, рассчитанного на длительную эксплуатацию и работу с постоянной базой оплачивающих подписку пользователей. Ханипоты Bitdefender перехватили достаточное количество файлов Interplanetary Storm, чтобы получить возможность изучить его структуру, особенности атаки, отследить зараженные устройства (ноды) и даже обнаружить контролирующие сервера.

Специалисты по кибербезопасности нашли целую систему обновления исполняемых файлов Interplanetery Storm и отслеживания их версий. Она позволяет совершенствовать функционал и улучшать производительность всего ботнета. Это один из факторов, показывающих, что сеть не просто растет, а находится в стадии активной разработки.

Карта нодов ботнета Interplanetery Storm
©Bitdefender

Размеры ботнета оценивают примерно в девять тысяч зараженных устройств, подавляющее большинство которых работает под управлением операционных систем семейства Unix. На основе косвенных признаков было установлено, что это гаджеты интернета вещей (IoT), сетевые дисковые накопители, роутеры и маршрутизаторы, телевизионные приставки, микроконтроллеры (вроде Raspberry Pi).

Атаки на жертв осуществляют с помощью вполне легитимного, с точки зрения антивирусного ПО, IRC-клиента, который был незначительно модифицирован злоумышленниками. Он использует довольно простой метод получения административного доступа к сетевым устройствам: обращается к ним по протоколу SSH и просто перебирает типовые логины с паролями. Учитывая, что большое количество роутеров, компонентов умного дома и прочего имеющего доступ в сеть IT-оборудования для домашнего использования остается с настройками по «умолчанию», такая тактика проста и эффективна.

Ноды Interplanetery Storm находятся в 98 странах, значительная их часть — в Юго-Восточной Азии: Гонконге, Южной Корее и на Тайване. Примечательно, что в топ-10 государств, где расположено больше всего зараженных устройств, вошли и Россия (336 штук) с Украиной (524 единицы).

Чтобы обезопасить себя и свои гаджеты от подобных атак, специалисты рекомендуют обязательно устанавливать надежные пароли на все интерфейсы доступа к домашнему сетевому оборудованию. И отсутствие роутеров или сетевых дисков не гарантирует безопасность: среди прочего сотрудники Bitdefender выяснили, что Interplanetery Storm способен заражать операционные системы Windows и Android, просто сейчас они не являются основной целью.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
7 часов назад
4 минуты
Сергей Васильев

Глубоко в носоглотке ученые обнаружили новую — четвертую — пару крупных слюнных желез, о существовании которой ранее никто не подозревал.

Вчера, 12:21
4 минуты
Ольга Иванова

Международная группа ученых сделала рентгеновские снимки грудного отдела тела муравьев, проанализировав их мышцы и внутренний скелет. В результате исследователи выяснили, что сила этих насекомых связана с потерей способности летать.

4 часа назад
28 минут
Александр Березин

Потепление помогает главному лесу планеты — где проживает 10% всех существующих видов, — а вот биотопливо грозит ему гибелью. Эта неприятная правда неполиткорректна, поэтому СМИ переворачивают ее с ног на голову. Попробуем разобраться, как до этого дошло.

Вчера, 12:21
4 минуты
Ольга Иванова

Международная группа ученых сделала рентгеновские снимки грудного отдела тела муравьев, проанализировав их мышцы и внутренний скелет. В результате исследователи выяснили, что сила этих насекомых связана с потерей способности летать.

16 октября
6 минут
Василий Парфенов

Несмотря на устоявшееся мнение, согласно которому газотурбинные двигатели (ГТД) почти достигли технологического совершенства и прироста характеристик более чем на единицы процентов в новых моделях ждать не стоит, инженеры продолжают искать способы радикально их улучшить. Компания GE Aviation уже до конца 2020 года собирается представить предсерийные экземпляры своих революционных силовых установок, которые должны быть на 20% долговечнее, на 35% экономичнее и будут иметь улучшенную на 80% энерговооруженность, чем предыдущие аналогичные модели.

16 октября
52 минуты
Александр Березин

Одни говорят, что в мире миллионы тонн ядерных отходов и что их никогда не удастся надежно захоронить, в связи с чем Гринпис перекрывает железные дороги, по которым везут ядерные материалы, и требует свернуть всю ядерную отрасль в одночасье. Другие утверждают, что реальные ядерные отходы от деятельности АЭС во всем мире помещаются в куб со стороной десять метров. Как понять, кто прав, а кто — нет? И почему то, что для одних — «отходы», другие рассматривают как ценную инвестицию в будущее? Попробуем разобраться.

28 сентября
29 минут
Александр Березин

Сентябрь 2020 года принес в Закавказье войну — столкновение Азербайджана и Нагорного Карабаха получило большой размах, общее число жертв, судя по всему, уже перевалило за сотню, а Ереван и Баку объявили мобилизацию (в Азербайджане — частичную). Объективного смысла в войне для самих участников нет. Баку не победит, но и Армения от конфликта ничего не выиграет. Пользу конфликт, однако, объективно принесет Турции, а также тем, кто поставляет в Азербайджан оружие. Возникает вопрос: почему война оказалась возможна, несмотря на дружественную позицию России к Армении, и зачем на нее пошли в Баку? И есть ли у Еревана разумный выход из назревающей бойни?

16 октября
6 минут
Денис Гордеев

Люди со второй и четвертой группами крови с большей вероятностью переболеют Covid-19 в тяжелой форме.

1 октября
39 минут
Александр Березин

После советской эпохи атомные реакторы перестали запускать в космос, но сегодня все постепенно меняется. К атомной энергетике для марсианских колоний примеривается Илон Маск, проекты лунных АЭС прорабатываются в России — и все несмотря на то, что в космосе условия для солнечной энергетики лучше, чем на нашей планете. Что заставляет космическую отрасль все чаще думать об атомных реакторах? Как ни странно, дело в том, что и ядерная энергетика в космосе становится еще важнее, чем на Земле. Попробуем разобраться почему.

[miniorange_social_login]

Комментарии

1 Комментарий

Семен Курсаков
3 дня назад
-
0
+
Не покупайте мощные компы, они часто интересуют ботнеты.
Подтвердить?
Лучшие материалы
Предстоящие мероприятия
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: