Злоумышленники Water Barghest заразили более 20 000 устройств интернета вещей
21/11/24
Компания Trend Micro выявила новую кампанию киберугроз, в рамках которой группа Water Barghest превращает тысячи уязвимых устройств в сети всего за несколько минут после их компрометации. С 2020 года злоумышленники заразили более 20 000 устройств, используя автоматизированные инструменты для быстрого расширения своих действий. Об этом пишет Securitylab.
Как уточняет Trend Micro, процесс от изначального заражения до выставления скомпрометированного устройства на продажу занимает менее 10 минут. Это позволяет другим киберпреступникам и группам, включая государственные, безымянность с географически правдоподобными IP-адресами для атак и доступа к украденным данным.
Кампания Water Barghest была обнаружена после ликвидации инфраструктуры ботнета Pawn Storm, известного также как APT28, американским ФБР в январе. В ходе своего расследования специалисты Trend Micro произвели анализ захваченных устройств EdgeRouter, что позволило выявить ботнет Ngioweb, используемый Water Barghest.
Ngioweb впервые был замечен в 2017 году, тогда как в текущей кампании применяется обновлённая версия вредоносного ПО, нацеленная на устройства EdgeRouter, Cisco, DrayTek, Fritz!Box и Linksys, преимущественно в США. Взлом начинается с поиска уязвимостей через базы данных, такие как Shodan, и последующей эксплуатации обнаруженных уязвимостей.
Вредоносное ПО запускается в оперативной памяти устройств, что делает его непостоянным — перезагрузка устройства устраняет заражение. После установки программа соединяется с серверами управления для тестирования соединения, а затем устройство автоматически добавляется в вышеупомянутый электронный магазин.
Несмотря на действия правоохранительных органов против подобных сетей, таких как VPNFilter и Cyclops Blink, специалисты Trend Micro предупреждают, что IoT-устройства, доступные для подключений из интернета, всё ещё остаются уязвимыми. Высокий спрос на услуги посредников среди кибергрупп предполагает продолжение подобных атак.