Прокурорская Правда: вся правда о ГПУ, новости прокуратурыи силовых ведомств, аналитика событий в Украине, России
Вы находитесь здесь:Главная/Словарь/Основой атаковавшего «Яндекс» ботнета посчитали опасный троян

 

Основой атаковавшего «Яндекс» ботнета посчитали опасный троян

Основой атаковавшего «Яндекс» ботнета посчитали опасный троян
20.09.2021
Основой атаковавшего «Яндекс» ботнета посчитали опасный троян
Основой атаковавшего «Яндекс» ботнета посчитали опасный троян

Речь идёт о вредоносном семействе Glupteba, с помощью которого ботнет до сих пор захватывает новые устройства. Об этом свидетельствуют данные расследования, проведенного центром Solar JSOC CERT (входит в компанию «Ростелеком-Солар»).

Об этом сообщает ВЧК-ОГПУ

Аналитики Solar JSOC CERT заявили, что в последние два года они отмечали многочисленные попытки заражения устройств латвийского поставщика оборудования MicroTik, которые в итоге стали основой атаковавшего «Яндекс» ботнета. Специалисты посчитали, что взломщики использовали перебор паролей и эксплуатацию одной из уязвимостей, которая позволяла им получить доступ к учётной записи администратора.

После этого в планировщик Router OS прописывалась команда на добавление задач, с помощью которой киберпреступники могли отправлять устройству скрипт с командами.

«9 сентября 2021 года на наши устройства MikroTik с серверов управления пришла очередная задача описанного формата, которую мы не встречали ранее. Она содержала ссылку на "Яндекс", — отметили специалисты Solar JSOC CERT. — Также в этот день "Яндекс" опубликовал новость о DDoS-атаке. Прочитав её, мы сделали предположение, что именно таким образом и была организована атака. То есть в качестве семпла вредоносного кода выступает лишь задача в планировщике RouterOS».

Затем эксперты проанализировали те доменные имена, с которых на устройства поступали скрипты с командами. Выяснилось, что они были напрямую связаны с семейством вредоносных программ Glupteba. В одноименном трояне содержится модуль, отвечающий за заражение продукции MikroTik, который использует такую же схему атаки: перебор паролей и эксплуатацию указанной уязвимости.

«Описанные данные позволяют предположить, что вредоносное семейство Glupteba участвовало в формировании ботнета Mēris, — констатировали эксперты Solar JSOC CERT. — Наша статистика по геопринадлежности зараженных устройств схожа с данными "Яндекса" — Бразилия, Индонезия, Индия, Бангладеш. Но есть и различия: у нас большую часть занимает Украина. Вероятно, у ботнета Mēris несколько серверов управления и нам доступна только часть устройств».

В начале сентября сотрудникам «Яндекса» удалось отразить крупнейшую DDoS-атаку в истории интернета. Её мощность достигала 20 миллионов запросов в секунду. Проведенное совместно со специалистами Qrator Labs расследование позволило выяснить, что за нападением стоит крупный ботнет, получивший название Mēris. Спустя несколько дней с его помощью атаковали ряд банков и других финансовых организаций страны.

Источник: Руссиангейт

TOP