На прошлой неделе специалисты Qihoo 360 Netlab и компании Check Point рассказали о появлении нового IoT-ботнета, которому предрекли «славу» Mirai. Ботнет получил название Reaper, и сообщалось, что в его состав уже входят более миллиона «умных» устройств.
Теперь аналитики компании Arbor Networks представили собственный отчет и происходящем, в котором не совсем согласились с мнением коллег. Так, по данным исследователей, реальное число ботов не превышает 10 000 – 20 000, с чем согласны и специалисты Netlab 360, недавно тоже скорректировавшие свою статистику. Впрочем, исследователи полагают, что еще около двух миллионов IoT-устройств могут рассматриваться как потенциальные мишени для заражения.
Напомню, что малварь распространяется через эксплуатацию различных уязвимостей в устройствах D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys и Synology. Именно это отличает Reaper от других IoT-ботнетов, которые, как правило, полагаются на Telnet-сканеры и списки учетных данных по умолчанию.
Специалисты Arbor Networks пишут, что причина, по которой Reaper еще не заразил два миллиона пригодных для этого устройств, неясна до конца. Возможно, операторы ботнета допустили ошибки, и их сканер неверно идентифицирует уязвимые устройства,а также имеются проблемы с масштабированием. Хотя также нельзя исключать, что операторы Reaper умышлено сдерживают количество заражений, так как им вовсе не нужен многомиллионный ботнет. Ведь когда ботент Mirai атаковал DNS-провайдера Dyn, что привело к глобальным перебоям в работе интернета во всем мире, для атаки использовались лишь 100 000 устройств.
Согласно анализу Arbor Networks, Reaper, вероятнее всего, был создан в Китае и ориентирован на местный рынок, где его сдают в аренду. Ботнет способен устраивать SYN-, ACK- и HTTP-флуд, атаки с отражением или усилением через DNS и другие виды DDoS.
