Специалист компании NewSky Security и известный эксперт в области IoT-безопасности Анкит Анубхав (Ankit Anubhav) рассказал о забавном проколе неизвестных хакеров. Он обнаружил, что операторы двух IoT-ботнетов используют учетные данные root/root для доступа к своим управляющим серверам.

Исследователь пишет, что операторы некоторых из версий ботнета Owari, который построен на базе известного вредоноса Mirai и атакует IoT-устройства с учетными данными по умолчанию, ничему не научились у своих жертв. К примеру, владельцы одного ботнета разместили свой управляющий сервер по адресу 80[.]211[.]232[.]43. Там специалисты без труда обнаружили открытый порт 3600, по умолчанию используемый MySQL БД. Как оказалось, в качестве логина и пароля для БД атакующие выбрали банальное сочетание root/root.

В результате Анубхав и его коллеги смогли изучить «изнанку» ботнета. Они получили доступ к информации о зараженных устройствах, авторах ботнета и даже их клиентах, которые арендовали скомпрометированные устройства для проведения DDoS-атак. Информация о самих атаках, их длительности, целях и количестве доступных ботов, так же стала известная исследователям.

Эксперт рассказывает, что это далеко не уникальный случай. Так, еще один командный сервер Owari-ботнета, расположенный по адресу 80[.]211[.]45[.]89, точно так же использовал MySQL и комбинацию root/root в качестве учетных данных.

В настоящее время оба вышеупомянутых управляющих сервера уже ушли в оффлайн, однако Анубхав пишет, что это обычная практика. Такие серверы в целом не «живут» долго, так как их адреса довольно быстро попадают во всевозможные черные списки, и операторы малвари регулярно меняют IP.

Вероятнее всего, обнаруженные исследователем ботнеты не просуществуют долго. Дело в том, что любой grayhat или whitehat может «положить» такой ботнет, получив доступ к C&C-серверу, а конкурирующие blackhat’ы могут и вовсе воспользоваться возможностью и присвоить чужих ботов себе.

1 комментарий

  1. Killswitch1982

    07.06.2018 at 09:06

Оставить мнение