Безопасники зафиксировали новую волну атак: хакеры массово берут под контроль цифровые видеорегистраторы TBK и роутеры Four-Faith, соединяя их в огромную бот-сеть RondoDox.
RondoDox
В центре этой атаки — критические уязвимости: CVE-2024-3721 (позволяет выполнять любые команды на TBK DVR-4104 и DVR-4216) и CVE-2024-12856 (уязвимость в роутерах Four-Faith F3x24 и F3x36).
Эти устройства часто стоят в магазинах, на складах и в маленьких офисах, где о них годами никто не вспоминает. Их почти не обновляют, а они подключены напрямую и защищены весьма слабо — настоящий подарок для злоумышленников.
Похожими слабыми местами киберпреступники уже не раз пользовались, например, для запуска ботнета Mirai в последние месяцы.
«Все эти уязвимости давно раскрыты и активно эксплуатируются — это реальная угроза не только устройства, но и всей сети», — комментирует исследователь Fortinet FortiGuard Labs Винсент Ли.
Впервые вредоносный файл ELF с RondoDox обнаружили в сентябре 2024 года. Этот вирус виртуозно маскирует свой трафик под популярные онлайн-игры или VPN-сервисы, чтобы не вызвать подозрений.
Опасность RondoDox не только в краже устройств — злоумышленники используют полученный доступ не как обычный ботнет. Эти устройства становятся скрытыми прокси для управления атаками, мошенничества и масштабных DDoS-налетов, что создает дополнительные риски и их очень тяжело вычислить.
Исследования показали: изначально RondoDox атаковал Linux-устройства на архитектурах ARM и MIPS, но вскоре начал распространяться через shell-скрипты и на другие платформы: Intel 80386, MC68000, MIPS R3000, PowerPC, SuperH, ARCompact, x86-64, AArch64.
После запуска скрипт заставляет заражённое устройство игнорировать типичные сигналы завершения работы (SIGINT, SIGQUIT, SIGTERM), а затем ищет любые доступные для записи папки — например, /dev, /dev/shm, домашнюю директорию пользователя, /mnt, /run/user/0, /var/log, /var/run, /var/tmp, /data/local/tmp.
В результате вирус скачивает и устанавливает себя, удаляет следы предыдущих команд и привязывается к системе: теперь он запускается автоматически при каждом включении устройства.
RondoDox также ищет активные процессы — и завершает все, что связано с сетевыми утилитами (wget, curl), инструментами мониторинга (Wireshark, gdb), а также другим вредоносным ПО (вроде майнеров или Redtail), чтобы не быть замеченным и не дать себя удалить.
Подход вируса — это отражение современных трендов: мультиархитектурные загрузчики, управляющие серверы через DNS-over-HTTPS, XOR-шифрование — все это помогает обходить стандартные системы обнаружения. RondoDox — новый пример “умного” вредоноса для Linux, который встал в один ряд с RustoBot и Mozi. Всё это семейство умеет пробираться в IoT-устройства со слабыми или старыми паролями, а также в плохо защищённые роутеры.
Кроме того, ботнет сканирует привычные директории с исполняемыми файлами Linux: /usr/sbin, /usr/bin, /usr/local/bin, /usr/local/sbin. Все найденные легитимные программы заражённый вирусом аппарат переименовывает случайными названиями, чтобы восстановить систему было ещё сложнее:
- iptables — jsuJpf
- ufw — nqqbsc
- passwd — ahwdze
- chpasswd — ereghx
- shutdown — hhrqwk
- poweroff — dcwkkb
- halt — cjtzgw
- reboot — gaajct
- iptables — jsuJpf
- ufw — nqqbsc
- passwd — ahwdze
- chpasswd — ereghx
- shutdown — hhrqwk
- poweroff — dcwkkb
- halt — cjtzgw
- reboot — gaajct
После “захвата” вирус связывается с внешним сервером (83.150.218[.]93) и ждёт команд для организации DDoS-атак на выбранные цели через HTTP, UDP и TCP.
Чтобы скрыть вредоносный трафик, RondoDox мимикрирует под сетевые данные популярных игр и сервисов: Valve, Minecraft, Dark and Darker, Roblox, DayZ, Fortnite, GTA, а также Discord, OpenVPN, WireGuard и RakNet.
К тому же, вирус может подделывать трафик и других сервисов для туннелирования и передачи данных в реальном времени: WireGuard, различные OpenVPN (openvpnauth, openvpncrypt, openvpntcp), STUN, DTLS и RTC.
Именно так вредонос отлично маскируется среди обычного интернет-трафика — это сильно затрудняет поиск и блокировку для специалистов по ИБ.
«RondoDox — это не просто вредонос, а один из самых сложных и опасных “невидимок”, который использует современные методы обхода защиты: приёмы от взлома, XOR-шифрование настроек, собственные библиотеки и умение крепко “присосаться” к системе», — подчеркивает Винсент Ли. — «Все эти возможности позволяют вирусу оставаться невидимым и очень долго контролировать заражённые устройства».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru