Желающие создать ботнет Reaper скрипт-кидди стали жертвами хакеров

Хакеры, намеревавшиеся построить собственный ботнет Reaper, стали частью ботнета Kaiten.

Хакеры, желающие создать собственный ботнет Reaper и скачавшие для этого IP-сканер, могли загрузить на свои системы немного больше, чем им хотелось бы.

Несколько недель назад мир узнал о ботнете Reaper. Он отличается от других тем, что для поиска уязвимых устройств «Интернета вещей» (IoT) его операторы используют IP-сканер, а уже затем с помощью эксплоитов для различных уязвимостей устанавливают на них вредоносное ПО Reaper. К примеру, операторы Mirai и Hajime использовали для взлома IoT-устройств брутфорс-атаки.

Шумихой вокруг Reaper воспользовался предприимчивый мошенник, сообразивший, что мечтающие стать хакерами скрипт-кидди ринутся в Сеть в поисках инструментов для создания собственных ботнетов. Мошенник создал сайт, рекламирующий IP-сканер. Этот сканер представляет собой PHP-скрипт, читающий IP-адреса из локального текстового файла poop.txt, проверяющий наличие на устройствах сервера GoAhead и записывающий все положительные результаты в файл GoAhead-Filtered.txt.

Желающие создать свой ботнет заинтересовались скриптом, поскольку с его помощью они могли идентифицировать устройства с серверами GoAhead (как правило, IP-камеры для видеонаблюдения). Малоопытные или невнимательные хакеры, не обратившие внимание на исходный код сканера, могли не заметить, что большая часть PHP-скрипта была обфусцирована с помощью целой стены случайных символов.

Проблему обнаружил старший исследователь компании NewSky Security Анкит Анубхав (Ankit Anubhav). По словам эксперта, скрипт был зашифрован несколько раз с помощью ROT13 и base64 и сжат с помощью утилиты gzip. После декомпиляции кода Анубхав обнаружил бэкдор, который легко было не заметить из-за обфускации кода.

Как пояснил исследователь, код состоит из четырех частей. Первая представляет собой обещанный полнофункциональный IP-сканер. Вторая часть запускает команды Bash, добавляющие дополнительного пользователя на Linux-сервер, где жертва выполняла скрипт IP-сканера. Третья часть авторизует IP-адрес жертвы на удаленном сервере. Четвертая часть загружает и выполняет на сервере с установленным IP-сканером вредоносное ПО Kaiten. Таким образом, хакеры, желающие создать собственный ботнет Reaper, становились частью ботнета Kaiten.

На момент написания новости рекламирующий IP-сканер сайт уже не работал, однако, по словам Анубхава, мошенники продолжают продавать свой продукт на хакерских форумах.

Желающие создать ботнет Reaper скрипт-кидди стали жертвами хакеров
Подписывайтесь на канал “SecurityLab” в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.