botnet

3,8 терабайта в секунда (Tbps). Това е новият рекорд за DDoS атака. Досега първото място държеше атака срещу клиент на Microsoft Azure в Азия – 3,47 Tbps.

Кампанията, в рамките на която е поставен новият рекорд, е била насочена към критични сектори като финансови услуги, телекомуникации и интернет доставчици. Тя е продължила един месец, включвайки над 100 хиперволуметрични атаки. Атаката, счупила досегашното най-високо постижение, е продължила 65 секунди, преди да бъде смекчена.

Заразените устройства, формиращи ботнета, са включвали маршрутизатори Asus, системи MikroTik, видеорегистратори и уеб сървъри. Те са били локализирани в множество държави, включително Русия, САЩ, Виетнам, Бразилия и Испания, като са използвали протокола User Datagram Protocol (UDP) на фиксирани портове, който позволява бързо предаване на данни без установяване на официални връзки.

Волуметричните DDoS атаки като тази препълват честотната лента на целта или изчерпват нейните ресурси, като правят приложенията, устройствата или мрежовите системи недостъпни за легитимните потребители. В този случай много от атаките са достигнали до два милиарда пакета в секунда (pps), засягайки по-специално слоеве 3 и 4 на мрежовата и транспортната инфраструктура, съобщи доставчикът на интернет услуги Cloudflare.

Aгенциите за киберсигурност на САЩ, Обединеното кралство, Канада, Австралия и Нова Зеландия предупредиха за нова мащабна ботнет мрежа, управлявана от компания, свързана с китайското правителство. Тя се състои от 260 000 устройства – от уебкамери до рутери – работи със зловреден софтуер Mirai и се използва за DDoS атаки, компрометиране на мрежи или за разпространение на зловреден софтуер.  

Зад нея стои китайската Integrity Technology Group. Според ФБР тя функционира от средата на 2021 г. и показва „дейност, съответстваща на тактиките, техниките и инфраструктурата“ на групата за киберзаплахи Flax Typhoon, известна още като RedJuliett и Ethereal Panda. 

Устройства, превърнати в част от мрежата, са открити в Европа, Северна и Южна Америка, Африка, Югоизточна Азия и Австралия. На Стария континент се падат 24,9% от нея. 

За да ограничите риска вашето устройство да стане част от подобна мрежа:  

• Инсталирайте редовно новопубликуваните софтуерни пачове; 
• използвайте силни пароли и двуфакторна автентикация; 
• деактивирайте неизползвани услуги и портове. 

Министерството на правосъдието на САЩ e повдигнало обвинение срещу украинец затова, че е използвал ботнет за кражба на пароли за достъп до компютри и периодично е продавал информацията на черния пазар. Американското правосъдие предвижда до 17 години затвор за такова престъпление.

Злосторникът е прилагал техники на „груба сила“ (brute force attack) за да събира идентификационни данни за вход едновременно от множество компютри. Седмично е качвал за продажба в dark web по 2 хил. пароли.

Припомняме, че попаднала в злонамерени ръце, паролата ви може да бъде използвана за извършване на широк спектър от атаки, включително кражба на данни, ransomware или прикриване на следите от други атаки.

Последен ъпдейт на 5 декември 2018 в 10:27 ч.

Мащабна мрежа за фалшив трафик е заразила с малуер стотици хиляди компютри и е ощетила рекламодатели с поне 36 млн. долара. Един от заподозрените за организиране на мрежата е руския гражданин Алексанър Жуков, който беше арестуван във Варна в средата на ноември.

Мрежата, наречена 3ve, е засечена с помощта на  компанията за киберсигурност White Ops и интернет гиганта Google. В разследването са участвали и други компании за информационна сигурност като ESET.

Голяма мрежа от устройства-зомбита

Мрежата е генерирала фалшив трафик чрез две големи бот мрежи, 10 хил. фалшиви домейна и поне 1.7 млн. компрометирани IP адреса.

За да се случи това, компютрите на стотици хиляди потребители от цял свят са били заразени и превърнати в част от бот мрежите Boaxxe (известна и като Miuref или Methbot) и Kovter. Според US-CERT заразяването е ставало чрез имейл или чрез сваляне на зловреден файл от интернет. Заразени са предимно настолни компютри и мобилни устройства, а целта е била генериране на фалшив трафик.

Рекламодателите са плащали за този трафик, въпреки че зад него не стоят реални хора.

Използвани са и фалшиви домейни, които са имитирали легитимни сайтове с висока посещаемост и качествено съдържание (например онлайн медии). Рекламодателите са склонни да плащат повече, за да се появяват рекламите им в такива сайтове.

Измама за милиони

Реално обаче рекламите им са се появявали във фалшиви сайтове и мобилни приложения, трафикът към които се генерира отчасти или изцяло от ботове.

Според US-CERT мрежата е успяла да обхване над 1.7 млн. IP адреса. Google и White Ops твърдят, че във всеки един момент в мрежата е имало около 700 хил. активни заразени устройства.

Прокуратута в Ню Йорк посочва, че схемата е оперирала като две големи рекламни мрежи. Първата е генерирала 7 млн. долара постъпления от измамени рекламодатели. Втората рекламна мрежа е генерирала над 29 млн. долара.

Връзка с България

Заподозрени за организирането на измамата са 8 граждани на Русия, Украйна и Казахстан. Един от заподозрените, които вече са арестувани, е руският гражданин Александър Жуков.  Той беше арестуван във Варна в средата на ноември по обвинение, че заедно с негови съучастници е измамил рекламодатели с помощта на сложна техническа инфраструктура.

„Чрез нея са били имитирани реални потребители на интернет, разглеждащи истински уебсайтове. По този начин те са привличали рекламодателите да извършват плащания, за да показват онлайн рекламите си. Всъщност рекламите никога не са били показвани на истински потребители на интернет“, съобщи Окръжен съд- Варна. Според съда Жуков живее в България от 8 години, има българска лична карта и собствено жилище във Варна.

Последен ъпдейт на 12 ноември 2018 в 11:10 ч.

Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.

 

Последен ъпдейт на 4 октомври 2018 в 17:13 ч.

Новооткрит малуер използва различни техники, за да остане незабелязан и да изгради ботмрежа от свързани към интернет устройства. Ботнетът е засечен първо от Веселин Бончев от Националната лаборатория по компютърна вирусология (НЛКВ) към БАН.  Наречен е Torii, тъй като използва Tor мрежата, за да атакува устройства.

Бончев съобщава за ботнета на 20 септември, след като го засича със своя honeypot. Бончев публикува туит за откритието си, а Avast прави последващ анализ на новооткрития ботнет.

My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…

First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com/r5L0I8PC0h

— Vess (@VessOnSecurity) September 19, 2018

Според Avast Torii засега не е използван за DDoS атаки, спам или копаене на криптовалути, показва проучване на компанията за киберсигурност Avast. Това, което го прави значим, е че за разлика от така популярния ботнет Mirai, използва по-сложни техники за заразяване на устройства. Mirai беше открит през август 2016 г. и засягаше различни устройства като домашни рутери и свързани към интернет камери. Заплахата от него стана значително по-голяма, след като кодът на малуера беше публикуван в интернет за свободно сваляне. Това даде възможност лесно да бъде копиран, модифициран и разпространяван.

Ботмрежа от ново ниво

„За разлика от Mirai, QBot  и техните производни, този ботнет се опитва да действа по-скрито и да остане на устройството, след като се инсталира на него. Засега той не прави нещата, които един ботнет обичайно прави – например да осъществява DDoS атаки и да копае криптовалути. Вместо това той притежава богат арсенал от функции за извличане на чувствителна информация и архитектура, способна да изпълнява различни команди и кодове. И всичко това се случва чрез криптирана комуникация“, посочват от Avast.

Според проучването Torii може да засегне голям брой устройства и работи на устройства с различни архитектури на процесора, включително MIPS, ARM, x86, x64, PowerPC, SuperH и други. Предполага се, че малуерът функционира поне от декември 2017 г.

Как протича атаката

Заразяването протича на няколко етапа. В първия етап малуерът открива свързани към интернет устройства и ги тества за слаби потребителски имена и пароли. Когато получи достъп до устройството, Torii се опитва да открие архитектурата на неговия процесор и инсталира пейлоуд. Тъй като има възможност да инсталира пейлоуд за различни и широко използвани процесори, това увеличава значително способността му да засяга голям брой устройства. Инсталирането на пейлоуд става на два етапа и според Avast се използват поне 6 метода, за да се гарантира, че зловредният код ще остане на заразеното устройство.

Другото, което отличава Torii, е, че атаката на устройствата започва от изходни Tor нодове (сървъри, които са част от Tor мрежата). когато се инсталира на едно устройство, малуерът комуникира с командни сървъри чрез криптирана връзка. Анонимизирането помага на ботнета да остане под радара и да не привлича внимание.

„Очевидно е, че Torii е пример за еволюцията на малуера, насочен към интернет на нещата. Неговата сложност е на ниво, каквото не сме виждали досега. След като зарази устройство, Torii изпраща много информация към командния сървър. Освен това. докато има връзка с командния сървър, авторите на атаката могат да стартират зловреден код в заразеното устройство. Това предполага, че Torii може да се превърне в модулна платформа в бъдеще“, коментират от Avast.

Последен ъпдейт на 28 юни 2018 в 11:26 ч.

Ботмрежа с „невиждано до момента ниво на сложност“ са открили анализаторите от израелската фирма за информационна сигурност Deep Instinct. Зловредния инструмент MyloBot Botnet включва различни техники на заразяване, сред които и възможност да изключва Windows Defender и актуализациите на Windows.Прочетете повече »