03/05/24
Недавно специалисты по кибербезопасности из компании Fortinet обнаружили невиданную ранее ботнет-сеть под названием Goldoon, нацеленную на маршрутизаторы D-Link через уязвимость CVE-2015-2051, о которой известно уже почти десять лет. Данная уязвимость имеет практически максимальную оценку по шкале CVSS (9.8 балла) и позволяет удалённым злоумышленникам выполнять произвольные команды с использованием специально сформированных HTTP-запросов.
После заражения устройства, атакующий получает полный контроль над ним, что позволяет хакерам извлекать информацию из системы, устанавливать связь с сервером управления и использовать заражённые устройства для дальнейших вредоносных действий, включая проведение DDoS-атак.
По данным телеметрии, всплеск активности данной ботнет-сети начался 9 апреля 2024 года, пишет Securitylab. Злоумышленники используют вышеобозначенную уязвимость для загрузки вредоносного кода на различные архитектуры Linux-систем, после чего инициируется удаление следов вирусной активности, что усложняет обнаружение атаки.
Goldoon не только обеспечивает постоянное присутствие на заражённых устройствах, но и устанавливает связь с сервером управления для получения дальнейших инструкций. Ботнет способен осуществлять DDoS-атаки с использованием 27 различных методов по разным протоколам, включая DNS, HTTP, ICMP, TCP и UDP.
В контексте развития ботнетов, как указывают специалисты из Trend Micro, злоумышленники и государственные акторы всё чаще используют заражённые маршрутизаторы как слой анонимизации, сдавая их в аренду другим преступникам или коммерческим прокси-провайдерам. Такие действия увеличивают сложность обнаружения злонамеренной деятельности, смешивая её с легитимным трафиком.
Исследователи подчёркивают, что интернет-маршрутизаторы остаются привлекательной целью для киберпреступников, так как они часто обладают ограниченным мониторингом безопасности и устаревшим программным обеспечением.
Новость о ботнете Goldoon служит напоминанием о необходимости регулярного обновления программного обеспечения и укрепления мер безопасности на сетевых устройствах. А если срок поддержки рабочего маршрутизатора вышел, медлить с его заменой не стоит, чтобы у хакеров было как можно меньше шансов использовать его в своих злонамеренных целях.
