Хакеры любят старьё. Зачем ботнеты ломятся в роутеры, которые давно пора сдать в музей?
NewsMakerСпециалисты объясняют, как одна «дыра» в периметре может остановить целый завод.
За три месяца наблюдений специалисты Forescout зафиксировали более 60 миллионов атакующих запросов, направленных на устройства на границе промышленных сетей. Анализ активности в рамках ловушек показал: устройства периметра — промышленные маршрутизаторы и брандмауэры — становятся целью атак гораздо чаще, чем те, что случайно оказались в открытом доступе. Именно они приняли на себя две трети всей вредоносной активности.
Большая часть запросов приходилась на SSH и Telnet, при этом основную угрозу представляли автоматизированные попытки подбора логинов и паролей. HTTP- и HTTPS-запросы, на которые пришлось почти четверть активности, несли в себе попытки эксплуатации уязвимостей и загрузки вредоносных файлов.
Самыми заметными среди последних угроз оказались ботнеты RondoDox и ShadowV2 . Первый, зафиксированный лишь в мае, уже применяет более 50 эксплойтов, часть которых не имеет публичных идентификаторов. Второй, появившийся позже, также быстро набирает обороты. Оба используют один и тот же приём — пытаются выполнить команды, которые загрузят вредоносные бинарные файлы на уязвимое устройство.
Особый интерес вызвала группа активности, получившая название Chaya_005. Она ведёт себя нестандартно: среди отправленных HTTP-запросов встречаются эксплойты с ошибками, параметры не соответствуют целевым устройствам, но все действия демонстрируют попытку получить отклик от потенциально уязвимой системы. Это не похоже на типичное поведение ботнетов, но вполне может быть методом создания списка целей для последующего использования — будь то загрузка вредоносного ПО, криптомайнеров или прокси.
За три месяца наблюдений специалисты Forescout зафиксировали более 60 миллионов атакующих запросов, направленных на устройства на границе промышленных сетей. Анализ активности в рамках ловушек показал: устройства периметра — промышленные маршрутизаторы и брандмауэры — становятся целью атак гораздо чаще, чем те, что случайно оказались в открытом доступе. Именно они приняли на себя две трети всей вредоносной активности.
Большая часть запросов приходилась на SSH и Telnet, при этом основную угрозу представляли автоматизированные попытки подбора логинов и паролей. HTTP- и HTTPS-запросы, на которые пришлось почти четверть активности, несли в себе попытки эксплуатации уязвимостей и загрузки вредоносных файлов.
Самыми заметными среди последних угроз оказались ботнеты RondoDox и ShadowV2 . Первый, зафиксированный лишь в мае, уже применяет более 50 эксплойтов, часть которых не имеет публичных идентификаторов. Второй, появившийся позже, также быстро набирает обороты. Оба используют один и тот же приём — пытаются выполнить команды, которые загрузят вредоносные бинарные файлы на уязвимое устройство.
Особый интерес вызвала группа активности, получившая название Chaya_005. Она ведёт себя нестандартно: среди отправленных HTTP-запросов встречаются эксплойты с ошибками, параметры не соответствуют целевым устройствам, но все действия демонстрируют попытку получить отклик от потенциально уязвимой системы. Это не похоже на типичное поведение ботнетов, но вполне может быть методом создания списка целей для последующего использования — будь то загрузка вредоносного ПО, криптомайнеров или прокси.