Pojavila se nova botnet mreža koju su jučer primijetili sigurnosni stručnjaci iz tvrtke NewSky Security, a njihove su nalaze potvrdile skupine sigurnosnih stručnjaka Qihoo 360 Netlab, Rapid7 i Greynoise. Sama botnet mreža izgrađena je korištenjem ranjivosti CVE-2017-17215 u Huawei HG532 usmjernicima, a pretraživanje uređaja s ovom ranjivosti, koja može biti iskorištena putem porta 37215, počelo je 18. srpnja prema podacima Netlabova NetScan sustava.
Do kraja dana, botnet mreža narasla je do 18 000 usmjernika, a autor koji je stajao iz mreže javio se sigurnosnim stručnjacima kako bi se pohvalio svojim radom te im je čak i podijelio listu IP adresa žrtava.
Autor se predstavio pseudonimom “Anarchy” te, usprkos pitanjima, nije pojasnio zašto je stvorio ovu botnet mrežu sigurnosnim stručnjacima iz portala Bleeping Computer i Ankitu Anubhavu iz sigurnosne tvrtke NewSky.
Međutim, Anubhav vjeruje kako je “Anarchy” zapravo prethodno bio poznat kao “Wicked”, zlonamjerni korisnik kojeg je Anubhav intervjuirao i koji se spominje u izvještaju tvrtke Fortinet.
Ako se ispostavi kako je “Wicked” stvarno postao “Anarchy”, možemo zaključiti kako je riječ o poznatom autoru koji je razvio niz inačica raznih zlonamjernih sadržaja, prvenstveno Mirai IoT zlonamjernog sadržaja. Ove inačice poznate su pod imenima Wicked, Omni i Owari (Sora) te su prethodno korištene u DDoS napadima.
Brzina kojom je uspostavljena ova botnet mreža zabrinjavajuća je, pogotovo ako znamo kako se “Anarchy” služio već poznatom ranjivošću koja je mnogo puta korištena. Najmanje je dva puta korištena u dvije inačice Satori botnet zlonamjernog sadržaja te nekim manjim zlonamjernim sadržajima koji se baziraju na Mirai zlonamjernom sadržaju.
Iako je ova ranjivost poznata i korištena u DDoS napadima, korisnici i teleoperateri nisu napravili mnogo za otklanjanje ove ranjivosti što sigurnosne stručnjake veoma zabrinjava. Štoviše, “Anarchy” nastavlja sa zlonamjernim aktivnostima te je nedugo nakon usmjernika tvrtke Huawei počeo ciljati usmjernike tvrtke Realtek koje je moguće kompromitirati iskorištavajući ranjivost CVE-2014-8361 putem porta 52869.
Činjenica kako netko u jednom danu može stvoriti ogromnu DDoS botnet mrežu zabrinjavajuća je, ali i pokazuje stvarno stanje na terenu.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.