Киберпреступность

Основой атаковавшего «Яндекс» ботнета посчитали опасный троян

Фото: Annette Riedl / Globallookpress.com

Опасный троян, получивший известность еще в 2018 году, мог стать основой для формирования ботнета Mēris. Речь идет о вредоносном семействе Glupteba, с помощью которого ботнет до сих пор захватывает новые устройства. Об этом свидетельствуют данные расследования, проведенного центром Solar JSOC CERT (входит в компанию «Ростелеком-Солар»).

Аналитики Solar JSOC CERT заявили, что в последние два года они отмечали многочисленные попытки заражения устройств латвийского поставщика оборудования MicroTik, которые в итоге стали основой атаковавшего «Яндекс» ботнета. Специалисты посчитали, что взломщики использовали перебор паролей и эксплуатацию одной из уязвимостей, которая позволяла им получить доступ к учетной записи администратора.

Как Россия стала страной рейвов, гламура и певицы МакSим Читать

✅ ГИПЕРТОНИЯ | Лекарства нового поколения

После этого в планировщик Router OS прописывалась команда на добавление задач, с помощью которой киберпреступники могли отправлять устройству скрипт с командами.

«9 сентября 2021 года на наши устройства MikroTik с серверов управления пришла очередная задача описанного формата, которую мы не встречали ранее. Она содержала ссылку на «Яндекс», — отметили специалисты Solar JSOC CERT. — Также в этот день «Яндекс» опубликовал новость о DDoS-атаке. Прочитав ее, мы сделали предположение, что именно таким образом и была организована атака. То есть в качестве семпла вредоносного кода выступает лишь задача в планировщике RouterOS».

Материалы по теме

00:0320 августа

«Русские хакеры» действительно существуют.

Откуда они появились, как стали звездами и почему их боится Запад?00:0112 сентября

Интернет-чума XXI века.

«Яндекс» пережил крупнейшую кибератаку в истории. Что за ней стоит и почему россияне в опасности?

Затем эксперты проанализировали те доменные имена, с которых на устройства поступали скрипты с командами. Выяснилось, что они были напрямую связаны с семейством вредоносных программ Glupteba. В одноименном трояне содержится модуль, отвечающий за заражение продукции MikroTik, который использует такую же схему атаки: перебор паролей и эксплуатацию указанной уязвимости.

«Описанные данные позволяют предположить, что вредоносное семейство Glupteba участвовало в формировании ботнета Mēris, — констатировали эксперты Solar JSOC CERT. — Наша статистика по геопринадлежности зараженных устройств схожа с данными «Яндекса» — Бразилия, Индонезия, Индия, Бангладеш. Но есть и различия: у нас большую часть занимает Украина. Вероятно, у ботнета Mēris несколько серверов управления и нам доступна только часть устройств».

В начале сентября сотрудникам «Яндекса» удалось отразить крупнейшую DDoS-атаку в истории интернета. Ее мощность достигала 20 миллионов запросов в секунду. Проведенное совместно со специалистами Qrator Labs расследование позволило выяснить, что за нападением стоит крупный ботнет, получивший название Mēris. Спустя несколько дней с его помощью атаковали ряд банков и других финансовых организаций страны.

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован.

*

code

Кнопка «Наверх»
Закрыть
Закрыть