Зомби-сеть из Linux-устройств достигла мощности свыше 150 Гбит/с


AkamaiСпециалисты из исследовательской компании Akamai Technologies сообщают, что зомби-сеть на базе Linux-трояна XOR DDoS достигла мощности свыше 150 Гбит/с. Данная мощность во много раз превышает пропускную способность большинства корпоративных инфраструктур, позволяя злоумышленникам вывести ее из строя.

Ботнет активно используется. Установлено, что ежедневно с его помощью атакуется до 20 целей, при этом 90% из них расположены в Азии. Основным вектором атак стали компании из игровой индустрии и образовательные учреждения.

Сам ботнет состоит из зараженных трояном XOR DDoS Wi-Fi-роутеров, серверов и сетевых систем хранения данных. Все эти устройства взламывались по протоколу SSH при помощи "brute-force-атаки" - путем перебора паролей для доступа к настройкам устройства.

Специалистами было установлено, что перебор паролей осуществляется со скоростью свыше 20 тыс. попыток в сутки в расчете на одно устройство. Кроме того, на один из наблюдаемых серверов аналитики зафиксировали перебор со скоростью свыше 1 млн. попыток за период с ноября 2014 году по конец января 2015 года.

После того как пароль был угадан, хакеры отправляют на устройство SSH-сообщение. Его длина в некоторых случаях могла достигать 6 тыс. символов, представляющих собой команды, разделенные точкой с запятой.


Происхождение трояна и фокусировка на Linux
Впервые троян XOR DDoS был обнаружен исследовательской группой Malware Must Die еще в сентябре 2014 года. Предположительно, что своими корнями он уходит в Азию. По имеющимся данным FireEye, а также собранной статистики, чаще всего взлом сетевых устройств происходил с IP-адресов, которые принадлежат гонконгской организации Hee Thai.

В свою очередь в Akamai считают, что ботнет на базе XOR DDoS является живым примером мощной вредоносной инфраструктуры, построенной на открытом программном обеспечении.

Если еще десять лет назад Linux представлял собой более защищенную альтернативу Windows, то на сегодняшний день привлекательность Linux-систем для взлома тоже возросла. И если ранее компании активно переходили на Linux, чтобы укрепить свою инфраструктуру, то сейчас им это обернулось поиском более дорогостоящих систем защит, а также поиском более подготовленных специалистов.

В связи с этим аналитики предполагают, что тенденция будет продолжаться, а злоумышленники будут дальше активно использовать и развивать троян XOR DDoS.


Для справки
В мае 2015 года исследовательской организацией Incapsula было обнаружено свыше 40 тыс. домашних и офисных роутеров, зараженных троянами MrBlack, Dofloo и Mayday. Стоит отметить, что все эти три трояна предназначены для устройств под управлением операционных систем с ядром Linux и разработаны злоумышленниками для проведения DDoS-атак.


Обновлено (02.10.2015 14:59)