Киберугроза: Ботнет атакует устройства IoT и EoL

Источник: blog.lumen.com
Лаборатория Black Lotus Labs компании Lumen в партнерстве с Министерством юстиции и Национальной полицией Нидерландов высветила серьезную угрозу, исходящую от криминальной сети, существующей с 2004 года. Эта сеть отвечает за заражение множества устройств Интернета вещей (IoT) и устаревших устройств (EoL), формируя ботнет, который предоставляет анонимность злоумышленникам для совершения различных незаконных действий.
Ключевые факты о ботнете
- В среднем 1000 уникальных ботов еженедельно подключаются к инфраструктуре командования и контроля (C2), преимущественно расположенной в Турции.
- Наиболее пострадавшим регионом от атак является Соединенные Штаты.
- Прокси-серверы предоставляют доступ без проверки подлинности, что позволяет широкому кругу злоумышленников быть анонимными.
- Около 10% прокси-серверов помечаются как вредоносные обычными средствами обнаружения, такими как VirusTotal.
Эта ситуация вызывает огромные опасения, поскольку неограниченный доступ к прокси-серверам создает идеальные условия для реализации различных угроз, включая:
- Мошенничество с рекламой;
- Распределенные атаки типа «отказ в обслуживании» (DDoS);
- Попытки применения грубой силы;
- Использование украденных данных.
Структура ботнета
По данным исследования, ботнет состоит по меньшей мере из пяти серверов. Четыре из них взаимодействуют через порт 80, в то время как один работает через UDP-порт 1443, что позволяет тихо принимать трафик жертвы.
Операторы сети предлагают прокси-серверы для аренды на 24 часа. Пользователи при этом должны проверять, указаны ли выбранные IP-адреса в каких-либо списках отказов, чтобы улучшить свою тактику обхода. Это способствует смешиванию вредоносного трафика с законным, что затрудняет обнаружение.
Долгосрочная стратегия скрытности
Скрытность, которую эта группа соблюдает на протяжении долгого времени, свидетельствует о стратегическом подходе к уклонению от правоохранительных органов. Black Lotus Labs не раскрывает конкретных подробностей о типах вредоносного ПО, так как уязвимые устройства играют ключевую роль в этой схеме.
Рекомендации по борьбе с угрозами
Для противодействия угрозам от таких прокси-сетей рекомендуется:
- Мониторинг атак на уязвимые учетные данные;
- Блокирование известных открытых прокси-серверов;
- Использование брандмауэров веб-приложений для предотвращения подключений из потенциальных ботнетов;
- Внедрение средств защиты периметра сети.
Пока существует множество устройств EoL, оставшихся уязвимыми для использования, риск, связанный с такими прокси-сервисами, остается значительным. Исследования данной преступной инфраструктуры будут продолжены с акцентом на сотрудничество с правоохранительными органами для эффективного пресечения этой вредоносной деятельности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



