взломщик поразил операторов iot-ботнетов их же оружием

[INFO 8]

Некто под псевдонимом Subby перехватывает контроль над незащищенными IoT-ботнетами, чтобы очистить Интернет от неумелых операторов. За последние несколько недель специалист похитил 29 DDoS-сетей, взламывая управляющую инфраструктуру через заводские или слабые пароли.

Как рассказал сам Subby, его изначальной целью было найти новый способ создания зомби-сетей. С распространением IoT-ботнетов наподобие Mirai, которые атакуют подключенные устройства через протокол Telnet, в Интернете все сложнее найти достаточно хостов, чтобы построить сильную инфраструктуру. Поэтому Subby решил взламывать серверы, под чьим управлением уже собраны армии умных устройств.

Для этого эксперт создал сеть приманок-ханипотов, которые собирают IP-адреса серверов для последующего сканирования. Подбор учетных данных ведется по словарю с использованием распространенных пар логинов и паролей. Алгоритм также добавляет к стандартным кодовым фразам переменные размером до шести цифровых значений. В случае успеха взломанный пароль автоматически пополняет базу Subby для использования в следующих атаках.

По словам специалиста, доступ к некоторым ботнетам удалось получить по комбинациям вроде root/root и admin/admin. Subby считает, что подобные сети обладают низкой устойчивостью к взлому, потому что для их создания не требуются какие-либо технические навыки, а все инструкции можно найти на YouTube. В результате собственные ботнеты заводят даже подростки, которые забывают сменить стоящие по умолчанию пароли или придумывают слабые комбинации.

В итоге эксперт получил доступ к управлению десятками тысяч устройств, что позволило ему создать поток мощностью около 300 Гбит/с. В сегодняшних реалиях, когда атаки свыше 500 Гбит/с становятся обыденностью для ИБ-специалистов, это не слишком высокий показатель.

По словам Subby, владельцы многих ботнетов изменили свои настройки после его вмешательства. Взломщик напрямую связывался с операторами, чтобы сообщить о существующих у них проблемах. В настоящий момент уязвимыми остаются до 60% первоначально обнаруженных серверов.

• Source: https://www.ankitanubhav.info/post/c2bruting