Ботнет Gwmndy перетворює маршрутизатори Fiberhome в вузли для SSH тунелювання

10:51
Ботнет Gwmndy перетворює маршрутизатори Fiberhome в вузли для SSH тунелювання

     Фахівці з 360 Netlab виявили новий, вельми незвичайний ботнет з маршрутизаторів Fiberhome. Ботнет зростає досить повільно — за один день в нього додається всього 200 пристроїв.

        «На відміну від типових ботнетів, що намагаються заразити якомога більше жертв, цей припиняє пошуки нових ботів, набравши 200 за день. Схоже, його творця влаштовує така кількість, ймовірно, йому досить проксі для чого б то не було », — повідомили дослідники.
      Друга відмінна риса ботнету — його призначення. На відміну від більшості ботнетів, він не використовується ні для DDoS-атак, ні для кріптоджекінга, ні для розсилки спаму, ні для викрадення інформації. Єдина мета ботнету — змінити налаштування маршрутизатора таким чином, щоб перетворити його в проксі-вузол для SSH тунелювання. Навіщо це потрібно його операторам, не зрозуміло.
        Для зараження маршрутизаторів зловмисники використовують раніше невідоме ПЗ Gwmndy. Інфікування відбувається за допомогою виконуваного файлу в форматі ELF, який потрапляє на пристрій одним з безлічі стандартних способів.
     «Ми не побачили, як Gwmndy поширюється, але знаємо, що в деяких маршрутизаторах Fiberhome використовують дуже ненадійні паролі і присутні уразливості», — пояснили дослідники.
       Потрапивши на пристрій, шкідник встановлює бекдор, а також створює SSH тунель для динамічної переадресації портів і локальний сервіс SOCKS5. Як відзначають дослідники, шкідливе ПЗ, яке на ролі проксі, — випадок досить рідкісний. Одні шкідливі програми використовують проксі або TOR для підключення до своїх C & C-серверів, інші і зовсім передають дані у відкритому вигляді без проксі. Однак шкідник, який є проксі сам по собі і може використовуватися іншими програмами, що завантажуються разом з ним, заслуговує пильної уваги, впевнені експерти.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.