Купили камеру для безопасности, а она «дудосит» Пентагон. Ирония эпохи интернета вещей
NewsMakerВаш умный дом стал послушным солдатом в чужих руках.
Ботнеты для DDoS-атак давно перестали быть редкостью, но Masjesu выбрал другой путь. Вредонос не пытается заразить всё подряд. Он действует тихо, не спеша, без лишней суеты, и уже несколько лет продаётся через Telegram как услуга для заказных атак. Такая осторожность, как считают специалисты Trellix, помогает операторам дольше сохранять инфраструктуру и наращивать её почти незаметно.
Trellix описывает Masjesu как ботнет, нацеленный на широкий круг IoT-устройств, включая роутеры и сетевые шлюзы на разных архитектурах. Вредонос впервые заметили ещё в 2023 году. На теневых площадках и в Telegram-сообществах проект продвигали как сервис для организации DDoS-атак. Под другим названием, XorBot, сеть уже фигурировала в отчётах NSFOCUS. Китайская компания тогда связала активность с оператором под псевдонимом synmaestro.
По данным Trellix, Masjesu делает ставку не на массовое заражение, а на устойчивость и скрытность. Вредонос намеренно обходит часть заблокированных IP-диапазонов, включая адреса, связанные с Министерством обороны США. Такой подход снижает риск повышенного внимания со стороны правоохранителей и помогает ботнету дольше оставаться в строю.
За последний год Masjesu заметно расширил арсенал. Новые версии получили как минимум 12 способов эксплуатации уязвимостей с внедрением команд и удалённым выполнением кода. Под удар попадают роутеры, камеры, DVR и NVR от D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link и Vacron. Позже в список добавились и роутеры на базе Realtek. Для поиска подходящих IoT-устройств ботнет сканирует порт 52869, который связан с daemon miniigd из SDK Realtek. Ранее похожую схему уже использовали JenX и Satori.
Ботнеты для DDoS-атак давно перестали быть редкостью, но Masjesu выбрал другой путь. Вредонос не пытается заразить всё подряд. Он действует тихо, не спеша, без лишней суеты, и уже несколько лет продаётся через Telegram как услуга для заказных атак. Такая осторожность, как считают специалисты Trellix, помогает операторам дольше сохранять инфраструктуру и наращивать её почти незаметно.
Trellix описывает Masjesu как ботнет, нацеленный на широкий круг IoT-устройств, включая роутеры и сетевые шлюзы на разных архитектурах. Вредонос впервые заметили ещё в 2023 году. На теневых площадках и в Telegram-сообществах проект продвигали как сервис для организации DDoS-атак. Под другим названием, XorBot, сеть уже фигурировала в отчётах NSFOCUS. Китайская компания тогда связала активность с оператором под псевдонимом synmaestro.
По данным Trellix, Masjesu делает ставку не на массовое заражение, а на устойчивость и скрытность. Вредонос намеренно обходит часть заблокированных IP-диапазонов, включая адреса, связанные с Министерством обороны США. Такой подход снижает риск повышенного внимания со стороны правоохранителей и помогает ботнету дольше оставаться в строю.
За последний год Masjesu заметно расширил арсенал. Новые версии получили как минимум 12 способов эксплуатации уязвимостей с внедрением команд и удалённым выполнением кода. Под удар попадают роутеры, камеры, DVR и NVR от D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link и Vacron. Позже в список добавились и роутеры на базе Realtek. Для поиска подходящих IoT-устройств ботнет сканирует порт 52869, который связан с daemon miniigd из SDK Realtek. Ранее похожую схему уже использовали JenX и Satori.