09/04/20
Специалисты компании Bitdefender обнаружили новый растущий IoT-ботнет из взломанных смарт-устройств, используемый киберпреступниками для осуществления DDoS-атак. Операторы ботнета, названного исследователями dark_nexus, добавляют в него устройства, скомпрометированные с помощью подстановки учетных данных (атак credential stuffing). В частности, их интересуют маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения.
В настоящее время ботнет включает 1372 бота, играющих роль обратного прокси. Взломанные устройства расположены в Китае, Южное Корее, Таиланде, Бразилии и России.
По словам исследователей, хотя dark_nexus похож на известные ранее ботнеты, некоторые модули вредоносного ПО делают его гораздо мощнее. Взять хотя бы тот факт, что вредонос скомпилирован для 12 различных архитектур ЦП.
Как выяснили исследователи, автором вредоносного ПО является некто под псевдонимом greek.Helios. Разработчик хорошо известен в киберпреступном сообществе как оператор сервиса по осуществлению заказных DDoS-атак, активно рекламируемого в соцсетях и на YouTube-канале.
Несмотря на то, что dark_nexus имеет общие черты с банковским трояном Qbot и ботнетом Mirai, его основные модули являются «в основном оригинальными», сообщили исследователи Bitdefender. Вредонос регулярно получает обновления, и с декабря 2019 года по март 2020 года было выпущено порядка 30 версий (от версии 4.0 до 8.6).
Тот факт, что dark_nexus создан на основе Mirai и Qbot, свидетельствует об эволюции тактик, используемых операторами ботнетов и малоопытными хакерами.
