Недавно специалисты по кибербезопасности из компании Fortinet обнаружилиневиданную ранее ботнет-сеть под названием Goldoon, нацеленную на маршрутизаторы D-Link через уязвимость CVE-2015-2051, о которой известно уже почти десять лет. Данная уязвимость имеет почти максимальную оценку по шкале CVSS (9.8 балла) и позволяет удалённым злоумышленникам выполнять произвольные команды с использованием специально сформированных HTTP-запросов.
Кара Лин и Винсент Ли, исследователи из Fortinet FortiGuard Labs, отметили, что после заражения устройства, атакующий получает полный контроль над ним, что позволяет хакерам извлекать информацию из системы, устанавливать связь с сервером управления и использовать заражённые устройства для дальнейших вредоносных действий, включая проведение DDoS-атак.
По данным телеметрии, всплеск активности данной ботнет-сети начался 9 апреля 2024 года. Злоумышленники используют вышеобозначенную уязвимость для загрузки вредоносного кода на различные архитектуры Linux-систем, после чего инициируется удаление следов вирусной активности, что усложняет обнаружение атаки.
Goldoon не только обеспечивает постоянное присутствие на заражённых устройствах, но и устанавливает связь с сервером управления для получения дальнейших инструкций. Ботнет способен осуществлять DDoS-атаки с использованием 27 различных методов по разным протоколам, включая DNS, HTTP, ICMP, TCP и UDP.
В контексте развития ботнетов, как указывают специалисты из Trend Micro, злоумышленники и государственные акторы всё чаще используют заражённые маршрутизаторы как слой анонимизации, сдавая их в аренду другим преступникам или коммерческим прокси-провайдерам. Такие действия увеличивают сложность обнаружения злонамеренной деятельности, смешивая её с легитимным трафиком.
Исследователи подчёркивают, что интернет-маршрутизаторы остаются привлекательной целью для киберпреступников, так как они часто обладают ограниченным мониторингом безопасности и устаревшим программным обеспечением.
Новость о ботнете Goldoon служит напоминанием о необходимости регулярного обновления программного обеспечения и укрепления мер безопасности на сетевых устройствах. А если срок поддержки рабочего маршрутизатора вышел, медлить с его заменой не стоит, чтобы у хакеров было как можно меньше шансов использовать его в своих злонамеренных целях.
DDoS-атаки – это, конечно, плохо, хотя и не смертельно. Однако кража учётных данных, на которую тоже способны некоторые вредоносы, вроде Cuttlefish, о котором мы писали вчера, представляет уже абсолютно реальную угрозу любому предприятию. Такие вредоносы способны не только замедлить работу роутера, но и скомпрометировать действующие аккаунты компании, похитив всю ценную информацию