DDoS сервис от новоявленных звезд киберпреступности
13 Jan 2015 | Автор: dd |Веселые ребята из команды Lizard Squad, положившие на рождество игровые сети Sony and Microsoft, запустили онлайн стресс сервис, проводящий атаки на ресурсы с помощью инфраструктуры из взломанных домашних рутеров, куда входят десятки тысяч хостов.
Естественно, как и любой стресс-сервис, их мощности способны положить слабозащищенный ресурс, т.ч трактовать запуск данного сервиса можно двояко. Тем более, что для достижения результата используется фактически бот-нет из взломанных рутеров, доступ к которым получен через telnet с помощью дефолтных заводских логинов.
История такова, что в первые дни этого года сайт KrebsOnSecurity, в конце прошлого года опубликовавший статью о новом booter service от команды Lizard Squad, подвергся серии DDoS атак. Фактически Booter services – это веб-сервис предлагающий услуги DDoS атак за небольшую денежку и по запросу. У парней из Lizard Squad эта услуга стоит $5.99 за 100 секунд или месячная подписка за $129.99 за 8+ часов оффлайна. В течении нескольких дней они получили около 2к зарегистрированных пользователей, что даже в самом минимальном варианте дает под $100к прибыли, буквально за несколько дней.
Проведя расследование атак направленных на их веб-сайт, команда KrebsOnSecurity пришла к выводу, что ядро ботнета хостится в той же боснийской подсети (217.71.50.x), что и основной сайт сервиса. Сама подсетка относится к абузоустойчивому хостингу, принадлежащему одному из админов хакерского форума Darkode, т.к пока сервис Lizard Squad не перключился на CDN от Cloudflare он несколько дней имел схожую с форумом Darkode IP адресацию. Система управления базируется на использовании уязвимости LinuxOS устройств, описанной командой Dr.Web в ноябре 2014 года, под названием Linux.BackDoor.Fgt.1. Собственно сама система сканирует сеть в поисках сетевых устройств с дефолтными логинами, после чего заражает их модификацией Linux.BackDoor.Fgt.1. и включает в стресс-нет, для дальнейшего использования в атаках. В стресс-сети участвую не только домашние рутеры, но также встречаются и коммерческие устройства компаний и университетов.
Надо заметить, что это не первая попытка команды Lizard Squad построить ботнет: первая атака на сети Sony and Microsoft, с которой они вышли на рынок, базировалась на взломанных трансантлантических магистральных рутерах, после чего ребята переключили свой интерес на анонимную сеть ToR, где планировали поднять несколько тысяч релеев и неким образом за счет этого произвести внедрение в сети ToR. В конце прошлого года, для организации данной атаки, участники команды Lizard Squad, используя краденные данные кредиток, зарегистрировали тысячи инстанций в облачном сервисе Google, подсадили на них Trojan.Tsunami.B ( по классификации ClamAV), но гуглеводы достаточно оперативно отреагировали на использование данных краденных карт и сеть была выключена.
Видимо данная история будет иметь продолжение, т.к KrebsOnSecurity и другие сообщества безопасников довольно серьезно ополчились на новоявленных звезд подпольного энторнета, т.к война видимо только начинается.
Для простых смертных это лишнее напоминание о том, что после включения устройства в сеть, даже не зависимо от его функций, необходимо менять заводские дефолтные настройки на собственные, хотя бы во избежании получения доступа интернет-хулиганами, не говоря уже про включение устройства в ботнет.
Теги: уязвимость, хакеры
