Вновом отчете Aqua Security подчеркивается, насколько легко хакеру-любителю создавать вредоносные сервисы, которые в свою очередь могут быть использованы в качестве оружия гораздо более опытными злоумышленниками в будущем.
Компания, занимающаяся облачной безопасностью, в опубликованном во вторник отчёте подробно описала операцию по продаже доступа к инструментам для распределённых атак типа «отказ в обслуживании» (DDoS) в Telegram, начатую, по всей видимости, российским хакером, известным как «Матрица», ссылаясь на коммиты кода с аккаунта GitHub. Злоумышленник, которого Aqua называет «скрипт-кидди», потратил год на создание ботнета, используя смесь хакерских инструментов с открытым исходным кодом, эксплуатируя старые уязвимости и стандартные учётные данные маршрутизаторов, видеорегистраторов и других подключенных к интернету устройств.
Ассаф Мораг, директор по анализу угроз компании Aqua Natuilus, написал, что даже «неопытные новички могут использовать инструменты с открытым исходным кодом для реализации сложных и масштабных кампаний».
«Хотя эта кампания не использует передовые методы, она использует распространённые уязвимости безопасности в различных устройствах и программном обеспечении», — написал Мораг. «В конечном счёте, эта кампания демонстрирует, как отсутствие базовых настроек безопасности может сделать устройства уязвимыми для масштабного использования при минимальном техническом уровне».
Результатом работы Matrix стал Telegram-бот под названием «Kraken Autobuy», который автоматически предлагает тарифные планы, оплачиваемые криптовалютой, с услугами DDoS-атак уровня от «Basic» до «Ultima» и «Enterprise». Исследователи Aqua отметили, что вся эта система представляет собой совокупность различных DDoS-фреймворков и инструментов настройки, таких как ботнет Mirai, SSH-сканеры, боты на Python и бот Discord. Большая часть кода доступна в интернете и переписана для совместной работы.
Например, операция также использует playit.gg — инструмент, который упрощает хостинг многопользовательских игр или веб-серверов без необходимости настройки сложных сетевых параметров, как часть ее серверов управления и контроля.
«Истинное мастерство заключается в способности эффективно интегрировать и использовать эти инструменты, что подчеркивает растущую угрозу со стороны хакеров, имеющих доступ к легкодоступным хакерским ресурсам», — написал Мораг.
Компания Aqua Security первоначально обнаружила эту кампанию, когда хакер попытался добавить один из своих ханипотов в ботнет. Хотя точное количество устройств в ботнете неизвестно, Мораг видел, как Matrix предлагала услуги ботнета на форумах киберпреступников. Он также отметил, что если хотя бы один процент из 35 миллионов устройств, на которые нацелился хакер, окажется уязвимым, ботнет может охватить до 350 000 скомпрометированных устройств, сдаваемых в аренду.
В число этих устройств входят маршрутизаторы и устройства таких компаний, как Huawei, ZTE и TP-Link, а также дистрибутивы Linux, такие как uClinux, с небезопасными настройками по умолчанию и другие. Большинство этих устройств могли бы остаться незамеченными, если бы не отсутствие «фундаментальных мер безопасности», отмечается в отчёте.
Хотя DDoS-атаки могут показаться не слишком сложными, способность неопытного киберпреступника осуществлять подобные атаки с использованием легкодоступных инструментов подчеркивает трудности в защите этих же устройств от эксплуатации со стороны более серьезных угроз, спонсируемых государством, таких как нацеливание Китая на уязвимые маршрутизаторы и подключенные к Интернету устройства.
Мораг отметил, что Matrix, по всей видимости, базируется в России, но, судя по всему, нацелена в основном на Китай и Японию, судя по широкому распространению устройств Интернета вещей в этих странах. Кроме того, ни США, ни Украина не занимают первых мест в списках целей, что, по словам Морага, указывает на то, что «мотивация троянской группы тесно связана с финансовой выгодой, а не с патриотическими чувствами». Однако Matrix — лишь одна из небольшой группы одиночных хакеров, нацеленных на незащищённые устройства, подключённые к интернету, которые, по сути, являются бесплатными игрушками для злоумышленников по всему миру.
Правительство США предупреждало об уязвимых маршрутизаторах, в том числе ещё в сентябре, поскольку китайские злоумышленники продолжают атаковать эти устройства, создавая всемирную ботнет-сеть для вредоносной деятельности. По словам американских чиновников, к июню 2024 года ботнет разросся до более чем 26 000 устройств и охватил весь мир, после чего был ликвидирован.
Российские хакеры-активисты также использовали DDoS-атаки на критически важную инфраструктуру. В июле Министерство финансов США ввело санкции против членов «Киберармии возрождённой России» — пророссийской группировки, связанной с военной разведкой, которая использовала DDoS-атаки на критически важную инфраструктуру США.
Но в то время как поддерживаемые пекинским государством хакеры могут иметь доступ к некоторым из самых секретных уязвимостей и уязвимостям нулевого дня , Matrix решила использовать уязвимости, которым уже много лет: пароли для входа в систему admin:admin или неправильно настроенные устройства, которые можно легко найти и добавить в свою ботнет.
Компания, занимающаяся облачной безопасностью, в опубликованном во вторник отчёте подробно описала операцию по продаже доступа к инструментам для распределённых атак типа «отказ в обслуживании» (DDoS) в Telegram, начатую, по всей видимости, российским хакером, известным как «Матрица», ссылаясь на коммиты кода с аккаунта GitHub. Злоумышленник, которого Aqua называет «скрипт-кидди», потратил год на создание ботнета, используя смесь хакерских инструментов с открытым исходным кодом, эксплуатируя старые уязвимости и стандартные учётные данные маршрутизаторов, видеорегистраторов и других подключенных к интернету устройств.
Ассаф Мораг, директор по анализу угроз компании Aqua Natuilus, написал, что даже «неопытные новички могут использовать инструменты с открытым исходным кодом для реализации сложных и масштабных кампаний».
«Хотя эта кампания не использует передовые методы, она использует распространённые уязвимости безопасности в различных устройствах и программном обеспечении», — написал Мораг. «В конечном счёте, эта кампания демонстрирует, как отсутствие базовых настроек безопасности может сделать устройства уязвимыми для масштабного использования при минимальном техническом уровне».
Результатом работы Matrix стал Telegram-бот под названием «Kraken Autobuy», который автоматически предлагает тарифные планы, оплачиваемые криптовалютой, с услугами DDoS-атак уровня от «Basic» до «Ultima» и «Enterprise». Исследователи Aqua отметили, что вся эта система представляет собой совокупность различных DDoS-фреймворков и инструментов настройки, таких как ботнет Mirai, SSH-сканеры, боты на Python и бот Discord. Большая часть кода доступна в интернете и переписана для совместной работы.
Например, операция также использует playit.gg — инструмент, который упрощает хостинг многопользовательских игр или веб-серверов без необходимости настройки сложных сетевых параметров, как часть ее серверов управления и контроля.
«Истинное мастерство заключается в способности эффективно интегрировать и использовать эти инструменты, что подчеркивает растущую угрозу со стороны хакеров, имеющих доступ к легкодоступным хакерским ресурсам», — написал Мораг.
Компания Aqua Security первоначально обнаружила эту кампанию, когда хакер попытался добавить один из своих ханипотов в ботнет. Хотя точное количество устройств в ботнете неизвестно, Мораг видел, как Matrix предлагала услуги ботнета на форумах киберпреступников. Он также отметил, что если хотя бы один процент из 35 миллионов устройств, на которые нацелился хакер, окажется уязвимым, ботнет может охватить до 350 000 скомпрометированных устройств, сдаваемых в аренду.
В число этих устройств входят маршрутизаторы и устройства таких компаний, как Huawei, ZTE и TP-Link, а также дистрибутивы Linux, такие как uClinux, с небезопасными настройками по умолчанию и другие. Большинство этих устройств могли бы остаться незамеченными, если бы не отсутствие «фундаментальных мер безопасности», отмечается в отчёте.
Хотя DDoS-атаки могут показаться не слишком сложными, способность неопытного киберпреступника осуществлять подобные атаки с использованием легкодоступных инструментов подчеркивает трудности в защите этих же устройств от эксплуатации со стороны более серьезных угроз, спонсируемых государством, таких как нацеливание Китая на уязвимые маршрутизаторы и подключенные к Интернету устройства.
Мораг отметил, что Matrix, по всей видимости, базируется в России, но, судя по всему, нацелена в основном на Китай и Японию, судя по широкому распространению устройств Интернета вещей в этих странах. Кроме того, ни США, ни Украина не занимают первых мест в списках целей, что, по словам Морага, указывает на то, что «мотивация троянской группы тесно связана с финансовой выгодой, а не с патриотическими чувствами». Однако Matrix — лишь одна из небольшой группы одиночных хакеров, нацеленных на незащищённые устройства, подключённые к интернету, которые, по сути, являются бесплатными игрушками для злоумышленников по всему миру.
Правительство США предупреждало об уязвимых маршрутизаторах, в том числе ещё в сентябре, поскольку китайские злоумышленники продолжают атаковать эти устройства, создавая всемирную ботнет-сеть для вредоносной деятельности. По словам американских чиновников, к июню 2024 года ботнет разросся до более чем 26 000 устройств и охватил весь мир, после чего был ликвидирован.
Российские хакеры-активисты также использовали DDoS-атаки на критически важную инфраструктуру. В июле Министерство финансов США ввело санкции против членов «Киберармии возрождённой России» — пророссийской группировки, связанной с военной разведкой, которая использовала DDoS-атаки на критически важную инфраструктуру США.
Но в то время как поддерживаемые пекинским государством хакеры могут иметь доступ к некоторым из самых секретных уязвимостей и уязвимостям нулевого дня , Matrix решила использовать уязвимости, которым уже много лет: пароли для входа в систему admin:admin или неправильно настроенные устройства, которые можно легко найти и добавить в свою ботнет.
