Масштабная угроза: Киберпреступная сеть атакует устройства IoT
Источник: blog.lumen.com
Лаборатория Black Lotus Labs компании Lumen совместно с Министерством юстиции и Национальной полицией Нидерландов проводит расследование преступной сети, которая действует с 2004 года. Основное внимание этой сети сосредоточено на устройствах Интернета вещей (IoT) и устаревших устройствах с истекшим сроком службы (EoL), что позволяет ей создавать ботнеты для анонимного осуществления различных вредоносных действий.
Характеристика преступной сети
По данным телеметрии Lumen, в среднем еженедельно 1000 уникальных ботов подключаются к серверам управления (C2), расположенным в Турции. Большинство жертв сети находятся в:
- Соединенных Штатах
- Канаде
- Эквадоре
Эти прокси-серверы используют устройства, которые больше не поддерживаются производителями, сделав их уязвимыми для устаревших вредоносных программ. Несмотря на то что операторы заявляют о наличии более 7000 активных прокси-серверов, реальные данные свидетельствуют о регистрации около 1000 устройств еженедельно в более чем 80 странах. Это несоответствие может указывать на завышение статистики с целью привлечения новых пользователей.
Методы работы и угроза
Одним из ключевых аспектов работы этой сети является использование локальных IP-адресов, что усложняет их обнаружение. Лишь около 10% используемых прокси-серверов обнаруживаются с помощью инструментов, таких как VirusTotal, как вредоносные. Анонимность, которую обеспечивают эти прокси, поддерживает множество незаконных действий, включая:
- мошенничество с рекламой
- распределенные атаки типа «Отказ в обслуживании» (DDoS)
- атаки с использованием грубой силы
- кражу данных
Жертвы подключаются к турецкой инфраструктуре C2, состоящей из пяти серверов, из которых четыре работают на порту 80, а один — на UDP-порту 1443. Это позволяет получать трафик без предоставления чего-либо взамен, что создает возможность для хранения данных жертв. После оплаты пользователи получают доступ к IP-адресу прокси-сервера на 24 часа, что увеличивает риск взлома систем мониторинга.
Рекомендации по кибербезопасности
Низкий барьер для входа, не требующий аутентификации, расширяет круг злоумышленников, способных воспользоваться этими сервисами, что усугубляет высокую степень угрозы. В связи с тем, что угрозы со стороны таких прокси-сервисов продолжают расти, защитникам систем рекомендуется:
- отслеживать нерегулярные попытки входа с предполагаемо безобидных IP-адресов
- обновить защиту от известных открытых прокси-серверов
- использовать передовые средства контроля периметра сети
Эти меры помогут снизить риски, связанные с преступной деятельностью. Продолжающееся сотрудничество Lumen с правоохранительными органами направлено на разрушение подобных сетей и усиление мер кибербезопасности по всему миру.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
