Инструментарий для проведения DDoS-атак, LizardStresser, был создан хакерами из небезызвестной группы Lizard Squad более года тому назад. И хотя оригинальные члены команды сейчас либо находятся за решеткой, либо скрываются от властей и стараются вести себя тихо, дело их живет. Исходные коды LizardStresser попали в открытый доступ еще в конце 2015 года, и теперь исследователи компании Arbor Networks сообщают, что тулкит взяли на вооружение другие группы, а на его базе теперь работает добрая сотня ботнетов.

Исследователи пишут, что со времени выхода первой версии LizardStresser утекло много воды, и тулкит успел претерпеть значительные изменения. Он успешно адаптируется к переменчивому сетевому «ландшафту», а на его базе создано несколько форков, которые активно применяют хакеры. Число управляющих серверов LizardStresser растет день ото дня, начиная с января текущего года. Если считать, что каждый командный сервер управляет одним ботнетом, то число последних уже перевалило за сотню.

lizardstresser_c2s
Рост количества командных серверов

По мнению исследователей, LizardStresser стал так популярен вовсе не потому, что он обладает какими-то невероятными функциями и возможностями. Не обладает. По сути, это обычный инструментарий, который использует древний IRC-протокол для связи с управляющими серверами. Основной проблемой (или залогом успеха, зависит от того, с какой стороны посмотреть) здесь являются уязвимые IoT-устройства, работающие на базе x86, ARM и MIPS. Так как LizardStresser был изначально написан на C и ориентирован на Linux-архитектуры, IoT-устройства стали для хакеров настоящей золотой жилой.

Согласно данным Arbor Networks, большинство зараженных IoT-девайсов — это подсоединенные к интернету веб-камеры с паролем по умолчанию. Исследователи наблюдали, как в ходе DDoS-атак на неназванные игровые сайты, бразильские финансовые организации, интернет провайдеров и правительственные учреждения использовался LizardStresser, а 90% ботов являлись именно веб-камерами. При этом мощность таких атак достигла отметки 400 Гбит/с.

LizardStresser позволяет устраивать очень простые атаки, он не использует техники усиления и отражения трафика. Боты работают напрямую, заваливая жертву UDP или TCP флудом. По-настоящему мощные DDoS-атаки злоумышленникам удается осуществлять исключительно благодаря огромному количеству «дырявых» IoT-устройств. Раньше считалась, что подобных мощностей невозможно добиться без использования усиления и протоколов NTP или SNMP.

Также, по информации экспертов компании, в некоторых версиях LizardStresser появилась функция брутфорса Telnet, которая используется для проверки устройств на предмет дефолтных паролей, а затем уведомляет операторов ботнета о потенциальных новых жертвах.

«Минимально изучив область дефолтных паролей для IoT-устройств, злоумышленники способны вовлекать в свои ботнеты целые группы жертв, — пишут исследователи. — LizardStresser стал ботнет-трендом для IoT-устройств, в частности благодаря тому, что настроить Telnet сканирование совсем нетрудно».

Фото: photowind/Shutterstock



Оставить мнение