В Интернете объявилась новая бот-сеть, которая быстро разрастается за счет уязвимых роутеров.
На настоящий момент выявлены сотни тысяч зараженных устройств, используемых, по всей видимости, для рассылки спама.
Согласно данным телеметрии 360Netlab, этот ботнет впервые заявил о себе в сентябре.
Исследователи назвали его BCMUPnP_Hunter, так как он построен на роутерах, использующих набор сетевых протоколов UPnP в реализации Broadcom. Загрузка ботов осуществляется через эксплойт хорошо известной уязвимости, обнаруженной в 2013 году.
Ботнет BCMUPnP_Hunter, по словам исследователей, представляет собой самособираемую прокси-сеть. Профессионально написанный бот проводит сканирование TCP-портов 5431, потом проверяет UDP-порт 1900 потенциальной жертвы и ждет ответа, говорящего о наличии либо отсутствии искомой уязвимости.
Результаты передаются на командный сервер, и в случае пригодности мишени на устройство отдаются эксплойт и шелл-код, скачивающий основную полезную нагрузку. Последняя состоит из зонда уязвимости Broadcom UPnP и сетевого модуля прокси-доступа.
Анализ показал, что в настоящее время BCMUPnP_Hunter используется для проксирования трафика, направляемого на почтовые серверы Outlook, Hotmail и Yahoo. Исследователи полагают, что операторы ботнета используют его для сокрытия источников спама — такой пример уже был, причем совсем недавно.
Вредоносные прокси-сети, составленные из роутеров, — тоже не новость, достаточно вспомнить ботнет UPnProxy, о котором в начале текущего года рассказали эксперты Akamai Technologies. Однако их находке далеко до BCMUPnP_Hunter: новичок растет быстро, проводя поиск открытых портов 5431 раз в три дня или даже чаще; на настоящий момент 360Netlab выявила 3,37 млн связанных с ботнетом уникальных IP-адресов, хотя не исключено, что многие из них — дубли, так как IP роутера может меняться.
Реальное количество зараженных устройств, по оценке экспертов, измеряется сотнями тысяч: в среднем они ежедневно фиксируют 100 тыс. ботов, выполняющих сканы. Жертвы заражения довольно равномерно распределены по всему миру, но больше всего их в Индии, Китае и США. В ходе наблюдений исследователям удалось идентифицировать 116 моделей инфицированных устройств, в том числе роутеры производства ADB, Broadcom, D-Link, Digicom, Linksys/Cisco, NetComm, UTStarcom и ZyXEL.