Облачные технологии в настоящее время широко распространены, применяясь в том числе не с благими намерениями. Сетевые злоумышленники также в полной мере пользуются мощью современных технологий. Специалисты фирмы Black Lotus Labs обнаружили проведение очередной вредоносной кампании. Она основана на обновлённом варианте семейства вредоносных программ TheMoon, которая известна уже более 10 лет. Новая версия программы создана для взлома домашних маршрутизаторов и устройств интернета вещей. После они применяются для маршрутизации преступного трафика через коммерческий прокси-сервис Faceless.
По словам аналитиков, незаметная работа ботнета позволила взломать свыше сорока тысяч устройств в 88 странах только за этот год. Новые атаки стартовали в начале марта и нацелены они на маршрутизаторы Asus. Меньше чем за трое суток инфицированными оказались более 6000 устройств.
Информация о методах взлома пока не предоставляется. Скорее всего используются известные уязвимости, через которые происходит захват устройств и включение их в состав ботнета. После взлома маршрутизаторов программа ищет определённые окружения оболочек для загрузки основного вредоносного кода.
Этот код нужен для перенаправления входящего трафика TCP на порты 8080 и 80 и разрешение передачи пакетов из определённых диапазонов IP-адресов. Программа пытается подключиться к управляющему сервису для запроса команд.
Затем может выполняться скачивание дополнительных вредоносных компонентов, в том числе и модуля червя с возможностью сканировать уязвимые HTTP-серверы. Загрузка файлов формата .sox даёт возможность использовать скомпрометированные устройства в качестве прокси. Большинство последних взломанных маршрутизаторов Asus относились к прокси-сервису Faceless.
Этот сервис может применяться для сокрытия вредоносного трафика, а оплата его услуг выполняется криптовалютой. Треть случаев заражения продолжается свыше 50 дней.
Специалисты рекомендуют использовать надёжные пароли и постоянно обновлять прошивки своих устройств интернета вещей и сетевых устройств. Если же маршрутизаторы больше не поддерживаются, их рекомендуется заменить на более современные.
