Появилась возможность взять в аренду ботнет из 400 000 устройств

Исслеватели дипвеба, широко известные в узких кругах под псевдонимами 2sec4u и MalwareTech сообщают, что не давно появилась в сети реклама снятия в аренду крупного IoT-ботнета на базе Mirai, в состав которого входит более 400 000 устройств.

Напоминаем нашим глубокоуважаемым читателям, не которые из которых не так хорошо разбираются во всей этой хакерской кухне, что же такое на самом деле эта малварь Mirai и с чем её едят. В октябре 2016 года в сети были опубликованы в открытом доступе исходные коды этого вредоносного программного обспечения, сразу после чего малварь стала самой масштабной на данный момент и появилялась практически в каждой DDoS-атаке за последние пару месяцев. При этом всё, работа Mirai устроена крайне просто, мы можем описать её одним предложением, она атакует IoT-устройство и после этого брутфорсит их через Telnet. В изначальном коде вредоносного вируса сразу содержит более 60 абсолютно различных комбинаций дефолтных паролей и логинов.

Мы писали уже о масштабных атаках ботнетов по всему миру, от не которых из них пострадали довольно крупные европейские хостинг-провайдеры, мощность атаки составила не много не мало 1,1 Тбит/сек. Помимо этого известный аналитик и журналист Брайан Кребс так же подвергся атаке, на него нападение составило 620 Гбит/сек, последствия этой атаки были очевидны, специалисты компании хостившей его ресурс просто отказались помогать в данной ситуации, ибо они не были готовы к такой масштабной атаке со стороны ботнетов. В конце октября последовала мощнейшая DDoS-атака на DNS-провайдера Dyn, эксперты до сих пор продолжают вести её анализ и диспут на эту темы не потух и по сей день, она вывела из строя значительный сегмент всего интернета.

Аналитики компании Flashpoint ещё в октябре прогнозировали, что попадение в сеть исходных кодов Mirai породить значительное множество ioT-ботнетов, они предрекали создание хакерами своих армий ботов, готовых на выполнение любых DDoS-атак. Исследователи 2sec4u и MalwareTech сразу же завели Twitter-акаунт и создали специализированный трекер, отслеживающие состояние ботнетов. Постоянный мониторинг продемонстрировал, что основная масса созданных за последнее время ботнетов не так многочисленны, они редко превышают 100 000 устройств, но есть среди них настоящий синий кит, он заметно выделяется на фоне всех остальных.

«Когда операторы самого крупного ботнета запускают свою DDoS-атаку, мы сразу можем видеть как график подскакивает на трекере, вдумайтесь, больше чем наполовину»,- так говорит MalwareTech для издания Bleeping Computer. -«У этого синего кита больше масса, если исчислять в ботнетах, чем у всех Mirai-ботнетов вместе взятых на данный момент».

2sec4u и MalwareTech 24 ноября выпустили предупреждение о том, что через XMPP/Jabber началась мощная рекламная пиар-компания, которая предлогает приобрести услуги Mirai-ботнета, в состав которого входит 400 000 устройств. Ниже мы приводим текст рекламного сообщения.

Bleeping Computer утверждает, что создать подобный по мощности ботнет спобна только группа хакеров известных под никнеймами BestBuy и Popopret. Известны эти ребята тем, что разработали трояна GovRAT, который приобрёл популярность во взломе и хищени данных у огромного количества компаний в США. Эта парочка состоит в очень известном и крайне закрытом хакерском форуме Hell hacking forum, они в этом сообществе обладают большим уважением.

Журналисты Bleeping Computer смогли каким-то образом выйти на связь с командой хакеров и поинтересоваться о создании ботнета и его «услугах». BestBuy и Popopret не с охотой отвечали на вопросы, но всё же не большое количество информации по поводу своего ботнета и его действий выдали.

Popopret заявляет, что в случае заказа клиент может взять в аренду абсолютно любое число ботов, необходимое ему, при этом он должен учитывать, что минимальный срок аренды составляет не менее двух недель. Цена заказа зависит от нескольких факторов, например, количество арендованных ботов, длительность и масштаб атаки, а так же время кулдауна. За большое количество арендованных ботов заказчики не получают ни каких скидок, но скидку готовы предоставить только в том случае, если DDos будет проходить с большими кулдаунами. 50 000 ботов, атакующие длительно на протяжении одного часа 3600 секунд, с кулдаунами по 5-10 минут, при заказе выйдут клиенту в кругулю сумму в 3000-4000 $ за две недели.

На простом копировании оригинальной идеи хакеры не ограничились и решили улучшить исходный код Mirai, которые опубликовали ещё в начале октября. Самый первый ботнет Mirai, который считается оригинальным, в своём составе имел более 200 000 машин, он функционировал точно так же брутфорсом через Telnet, имел в своём наборе порядка 60 комбинаций учётных данных, довольно сложная задача собрать большее количество. BestBuy и Popopret не доработали, а улучшили исходный код вредоноса, они добавили в Mirai новую функцию брутфорса через SHH, а зартем проработав ещё какое-то время, включили в его функционал эксплоит для 0-day уязвимостей, которые бывают в определнных неизвестных устройствах. Злоумышленники заявили, что совсем недавно они дописали код ещё раз, совершив очередное улучшение, теперь их разновидность Mirai приобрела функцию спуфинга IP-адресов ботов, которой точно так же не было в у исходного кода оригинала.

2sec4u и MalwareTech прогнозировали, что Mirai рано или поздно начнёт использование эксплоитов, направленных против 0-day багов, а так же дополнится абсолютно новым для Mirai арсеналом, но утверждать что это выполнено на сто процентов, пока исследователи не собираются, реверс данной версии Mirai ещё ни кем не производился. Однако, уже точно ивзестно что новая версия Mirai отлично научилась подделывать Ip-адреса. Так же парни думают, что самый огромный и рекламируемый ботнет скорее всего и есть тот самый синий кит, который не так давно отключил интернет во всей стране Либерии. Среди ботнетов ему присвоили номер 14.

По ходу беседы оба хакера наотрез отказались предоставлять любые доказательства возможностей своего ботнета, а так же заявили, что ни какого отношения к последним крупным и известным атакам они не имеют и делать что-либо подобное у них никогда не было в планах. Мало того, они добавили, что они никогда не следят в каких целях и зачем их клиенты используют арендованные у них мощности ботнета.

BestBuy и Popopret сообщили, что у них есть преимущество перед всеми остальными хакерами, так как им слили исходный код ботнета задолго до того как Anna-senpai выложил в сеть его исходники в открытом доступе, и IoT-ботнеты начали создавать все подряд, даже школьники. Вполне вероятно, что хакеры начали сотрудничество с оригинальным разработчиком Mirai. Это единственная и вполне обьясняющая всё причина, по которой их ботнет является самым огромным в мире из существующих.