Ботнет, нацеленный на старые непропатченные D-Link устройства

Ботнет ‎под‏ ‎названием ‎«Goldoon» ‎нацелен ‎на ‎уязвимость‏ ‎десятилетней ‎давности‏ ‎в‏ ‎незащищенных ‎устройствах ‎D-Link.

📌Уязвимость: Goldoon‏ ‎использует ‎CVE-2015-2051,‏ ‎критический ‎дефект ‎безопасности ‎с‏ ‎оценкой‏ ‎CVSS ‎9,8,‏ ‎который ‎затрагивает‏ ‎маршрутизаторы ‎D-Link ‎DIR-645. ‎Эта ‎уязвимость‏ ‎позволяет‏ ‎злоумышленникам ‎удалённо‏ ‎выполнять ‎произвольные‏ ‎команды ‎с ‎помощью ‎специально ‎созданных‏ ‎HTTP-запросов.

📌Действия‏ ‎ботнета: Как‏ ‎только ‎устройство‏ ‎скомпрометировано, ‎злоумышленники‏ ‎получают ‎полный‏ ‎контроль,‏ ‎что ‎позволяет‏ ‎им ‎извлекать ‎системную ‎информацию, ‎устанавливать‏ ‎связь ‎с‏ ‎сервером‏ ‎управления ‎(C2) ‎и‏ ‎использовать ‎устройства‏ ‎для ‎проведения ‎дальнейших ‎атак,‏ ‎таких‏ ‎как ‎распределенные‏ ‎атаки ‎типа‏ ‎«отказ ‎в ‎обслуживании» ‎(DDoS).

📌 Методы ‎DDoS-атак:‏ ‎Ботнет‏ ‎Goldoon ‎способен‏ ‎запускать ‎различные‏ ‎DDoS-атаки, ‎используя ‎такие ‎методы, ‎как‏ ‎TCP-флудинг,‏ ‎ICMP-флудинг,‏ ‎и ‎более‏ ‎специализированные ‎атаки,‏ ‎такие ‎как‏ ‎Minecraft‏ ‎DDoS.

📌Распространение ‎и‏ ‎скрытность: ‎Ботнет ‎инициирует ‎атаку, ‎используя‏ ‎CVE-2015-2051 ‎для‏ ‎развертывания‏ ‎скрипта-"дроппера» ‎с ‎вредоносного‏ ‎сервера. ‎Этот‏ ‎скрипт ‎предназначен ‎для ‎самоуничтожения,‏ ‎чтобы‏ ‎избежать ‎обнаружения,‏ ‎и ‎работает‏ ‎в ‎различных ‎архитектурах ‎систем ‎Linux.‏ ‎Программа‏ ‎загружает ‎и‏ ‎запускает ‎файл,‏ ‎«подготавливая ‎почву» ‎для ‎дальнейших ‎вредоносных‏ ‎действий.

📌Меры‏ ‎по‏ ‎снижению ‎и‏ ‎предотвращению: ‎Пользователям‏ ‎настоятельно ‎рекомендуется‏ ‎своевременно‏ ‎обновлять ‎устройства‏ ‎D-Link. ‎Кроме ‎того, ‎внедрение ‎решений‏ ‎для ‎мониторинга‏ ‎сети,‏ ‎установление ‎строгих ‎правил‏ ‎брандмауэра ‎и‏ ‎постоянное ‎информирование ‎о ‎последних‏ ‎бюллетенях‏ ‎по ‎безопасности‏ ‎и ‎исправлениях‏ ‎являются ‎важными ‎шагами, ‎позволяющими ‎опережать‏ ‎возникающие‏ ‎угрозы.

📌Влияние ‎и‏ ‎критичность: ‎Использование‏ ‎CVE-2015-2051 ‎ботнетом ‎Goldoon ‎представляет ‎собой‏ ‎малозатратную‏ ‎атаку,‏ ‎но ‎оказывает‏ ‎критическое ‎воздействие‏ ‎на ‎безопасность,‏ ‎которое‏ ‎может ‎привести‏ ‎к ‎удаленному ‎выполнению ‎кода. ‎Активность‏ ‎ботнета ‎резко‏ ‎возросла‏ ‎в ‎апреле ‎2024‏ ‎года ‎почти‏ ‎вдвое.

📌Рекомендации: Fortinet ‎рекомендует ‎по ‎возможности‏ ‎использовать‏ ‎исправления ‎и‏ ‎обновления ‎в‏ ‎связи ‎с ‎постоянным ‎развитием ‎и‏ ‎внедрением‏ ‎новых ‎ботнетов.‏ ‎Организациям ‎также‏ ‎рекомендуется ‎пройти ‎бесплатный ‎обучающий ‎курс‏ ‎Fortinet‏ ‎по‏ ‎кибербезопасности, ‎который‏ ‎поможет ‎конечным‏ ‎пользователям ‎научиться‏ ‎распознавать‏ ‎фишинговые ‎атаки‏ ‎и ‎защищаться ‎от ‎них.

Затронутые ‎отрасли‏ ‎промышленности

📌Домашние ‎сети‏ ‎и‏ ‎сети ‎малого ‎бизнеса:‏ ‎они ‎подвергаются‏ ‎непосредственному ‎воздействию, ‎поскольку ‎в‏ ‎этих‏ ‎средах ‎обычно‏ ‎используются ‎маршрутизаторы‏ ‎D-Link. ‎Компрометация ‎этих ‎маршрутизаторов ‎может‏ ‎привести‏ ‎к ‎сбоям‏ ‎в ‎работе‏ ‎сети ‎и ‎несанкционированному ‎доступу ‎к‏ ‎сетевому‏ ‎трафику.

📌Интернет-провайдеры‏ ‎(ISP): ‎Интернет-провайдеры‏ ‎могут ‎столкнуться‏ ‎с ‎повышенным‏ ‎давлением,‏ ‎требуя ‎от‏ ‎клиентов ‎помощи ‎в ‎обновлении ‎или‏ ‎замене ‎уязвимых‏ ‎устройств,‏ ‎и ‎они ‎могут‏ ‎испытывать ‎повышенную‏ ‎нагрузку ‎на ‎сеть ‎в‏ ‎результате‏ ‎DDoS-атак, ‎исходящих‏ ‎от ‎скомпрометированных‏ ‎маршрутизаторов.

📌Компании, ‎занимающиеся ‎кибербезопасностью: ‎Эти ‎организации‏ ‎могут‏ ‎столкнуться ‎с‏ ‎повышенным ‎спросом‏ ‎на ‎услуги ‎в ‎области ‎безопасности,‏ ‎включая‏ ‎обнаружение‏ ‎угроз, ‎повышение‏ ‎надежности ‎систем‏ ‎и ‎реагирование‏ ‎на‏ ‎инциденты, ‎связанные‏ ‎со ‎взломанными ‎маршрутизаторами.

📌Электронная ‎коммерция ‎и‏ ‎онлайн-сервисы: ‎Компании‏ ‎в‏ ‎этом ‎секторе ‎могут‏ ‎стать ‎объектами‏ ‎DDoS-атак, ‎запущенных ‎со ‎взломанных‏ ‎устройств,‏ ‎что ‎потенциально‏ ‎может ‎привести‏ ‎к ‎перебоям ‎в ‎обслуживании ‎и‏ ‎финансовым‏ ‎потерям.

📌Здравоохранение: ‎В‏ ‎связи ‎с‏ ‎ростом ‎числа ‎медицинских ‎служб, ‎использующих‏ ‎подключение‏ ‎к‏ ‎Интернету, ‎скомпрометированные‏ ‎маршрутизаторы ‎могут‏ ‎представлять ‎угрозу‏ ‎целостности‏ ‎данных ‎пациентов‏ ‎и ‎доступности ‎критически ‎важных ‎услуг.

Последствия

📌Компрометация‏ ‎сети ‎и‏ ‎утечка‏ ‎данных: ‎Злоумышленники ‎могут‏ ‎получить ‎полный‏ ‎контроль ‎над ‎скомпрометированными ‎маршрутизаторами,‏ ‎что‏ ‎потенциально ‎может‏ ‎привести ‎к‏ ‎краже ‎данных, ‎включая ‎конфиденциальную ‎личную‏ ‎и‏ ‎финансовую ‎информацию.

📌Распределенные‏ ‎атаки ‎типа‏ ‎«Отказ ‎в ‎обслуживании» ‎(DDoS): Ботнет ‎может‏ ‎запускать‏ ‎различные‏ ‎DDoS-атаки, ‎которые‏ ‎могут ‎нанести‏ ‎ущерб ‎сетевой‏ ‎инфраструктуре,‏ ‎нарушить ‎работу‏ ‎служб ‎и ‎привести ‎к ‎значительному‏ ‎простою ‎в‏ ‎работе‏ ‎затронутых ‎организаций.

📌Увеличение ‎эксплуатационных‏ ‎расходов: ‎Организациям‏ ‎может ‎потребоваться ‎инвестировать ‎в‏ ‎усиленные‏ ‎меры ‎безопасности,‏ ‎проводить ‎широкомасштабные‏ ‎проверки ‎и ‎заменять ‎или ‎обновлять‏ ‎уязвимые‏ ‎устройства, ‎что‏ ‎приведет ‎к‏ ‎увеличению ‎эксплуатационных ‎расходов.

📌Ущерб ‎репутации: Компании, ‎пострадавшие‏ ‎от‏ ‎атак,‏ ‎связанных ‎со‏ ‎взломанными ‎маршрутизаторами,‏ ‎могут ‎понести‏ ‎репутационный‏ ‎ущерб, ‎если‏ ‎будет ‎сочтено, ‎что ‎они ‎недостаточно‏ ‎защищают ‎данные‏ ‎клиентов‏ ‎или ‎не ‎обеспечивают‏ ‎доступность ‎услуг.

📌Нормативно-правовые‏ ‎последствия: Организации, ‎которые ‎не ‎обеспечивают‏ ‎надлежащую‏ ‎защиту ‎своих‏ ‎сетей, ‎могут‏ ‎столкнуться ‎с ‎проверкой ‎со ‎стороны‏ ‎регулирующих‏ ‎органов ‎и‏ ‎потенциальными ‎юридическими‏ ‎проблемами, ‎особенно ‎если ‎данные ‎потребителей‏ ‎будут‏ ‎скомпрометированы‏ ‎из-за ‎небрежности‏ ‎при ‎устранении‏ ‎известных ‎уязвимостей.