Ботнет, нацеленный на старые непропатченные D-Link устройства
Ботнет под названием «Goldoon» нацелен на уязвимость десятилетней давности в незащищенных устройствах D-Link.
📌Уязвимость: Goldoon использует CVE-2015-2051, критический дефект безопасности с оценкой CVSS 9,8, который затрагивает маршрутизаторы D-Link DIR-645. Эта уязвимость позволяет злоумышленникам удалённо выполнять произвольные команды с помощью специально созданных HTTP-запросов.
📌Действия ботнета: Как только устройство скомпрометировано, злоумышленники получают полный контроль, что позволяет им извлекать системную информацию, устанавливать связь с сервером управления (C2) и использовать устройства для проведения дальнейших атак, таких как распределенные атаки типа «отказ в обслуживании» (DDoS).
📌 Методы DDoS-атак: Ботнет Goldoon способен запускать различные DDoS-атаки, используя такие методы, как TCP-флудинг, ICMP-флудинг, и более специализированные атаки, такие как Minecraft DDoS.
📌Распространение и скрытность: Ботнет инициирует атаку, используя CVE-2015-2051 для развертывания скрипта-"дроппера» с вредоносного сервера. Этот скрипт предназначен для самоуничтожения, чтобы избежать обнаружения, и работает в различных архитектурах систем Linux. Программа загружает и запускает файл, «подготавливая почву» для дальнейших вредоносных действий.
📌Меры по снижению и предотвращению: Пользователям настоятельно рекомендуется своевременно обновлять устройства D-Link. Кроме того, внедрение решений для мониторинга сети, установление строгих правил брандмауэра и постоянное информирование о последних бюллетенях по безопасности и исправлениях являются важными шагами, позволяющими опережать возникающие угрозы.
📌Влияние и критичность: Использование CVE-2015-2051 ботнетом Goldoon представляет собой малозатратную атаку, но оказывает критическое воздействие на безопасность, которое может привести к удаленному выполнению кода. Активность ботнета резко возросла в апреле 2024 года почти вдвое.
📌Рекомендации: Fortinet рекомендует по возможности использовать исправления и обновления в связи с постоянным развитием и внедрением новых ботнетов. Организациям также рекомендуется пройти бесплатный обучающий курс Fortinet по кибербезопасности, который поможет конечным пользователям научиться распознавать фишинговые атаки и защищаться от них.
Затронутые отрасли промышленности
📌Домашние сети и сети малого бизнеса: они подвергаются непосредственному воздействию, поскольку в этих средах обычно используются маршрутизаторы D-Link. Компрометация этих маршрутизаторов может привести к сбоям в работе сети и несанкционированному доступу к сетевому трафику.
📌Интернет-провайдеры (ISP): Интернет-провайдеры могут столкнуться с повышенным давлением, требуя от клиентов помощи в обновлении или замене уязвимых устройств, и они могут испытывать повышенную нагрузку на сеть в результате DDoS-атак, исходящих от скомпрометированных маршрутизаторов.
📌Компании, занимающиеся кибербезопасностью: Эти организации могут столкнуться с повышенным спросом на услуги в области безопасности, включая обнаружение угроз, повышение надежности систем и реагирование на инциденты, связанные со взломанными маршрутизаторами.
📌Электронная коммерция и онлайн-сервисы: Компании в этом секторе могут стать объектами DDoS-атак, запущенных со взломанных устройств, что потенциально может привести к перебоям в обслуживании и финансовым потерям.
📌Здравоохранение: В связи с ростом числа медицинских служб, использующих подключение к Интернету, скомпрометированные маршрутизаторы могут представлять угрозу целостности данных пациентов и доступности критически важных услуг.
Последствия
📌Компрометация сети и утечка данных: Злоумышленники могут получить полный контроль над скомпрометированными маршрутизаторами, что потенциально может привести к краже данных, включая конфиденциальную личную и финансовую информацию.
📌Распределенные атаки типа «Отказ в обслуживании» (DDoS): Ботнет может запускать различные DDoS-атаки, которые могут нанести ущерб сетевой инфраструктуре, нарушить работу служб и привести к значительному простою в работе затронутых организаций.
📌Увеличение эксплуатационных расходов: Организациям может потребоваться инвестировать в усиленные меры безопасности, проводить широкомасштабные проверки и заменять или обновлять уязвимые устройства, что приведет к увеличению эксплуатационных расходов.
📌Ущерб репутации: Компании, пострадавшие от атак, связанных со взломанными маршрутизаторами, могут понести репутационный ущерб, если будет сочтено, что они недостаточно защищают данные клиентов или не обеспечивают доступность услуг.
📌Нормативно-правовые последствия: Организации, которые не обеспечивают надлежащую защиту своих сетей, могут столкнуться с проверкой со стороны регулирующих органов и потенциальными юридическими проблемами, особенно если данные потребителей будут скомпрометированы из-за небрежности при устранении известных уязвимостей.
Vkontakte
Twitter
Одноклассники
