Русскоязычный хакер создал ботнет из маршрутизаторов Netgear

Хакер инфицировал устройства новым вредоносным ПО RouteX.

Русскоязычный хакер заражал маршрутизаторы Netgear WNR2000 новым вредоносным ПО под названием RouteX и превращал их в SOCKS прокси-серверы для последующего осуществления атак Credential Stuffing (вброс регистрационных данных). Об этом сообщили исследователи безопасности из Forkbombus Labs.

Злоумышленник эксплуатировал уязвимость CVE-2016-10176 в моделях Netgear WNR2000, обнаруженную в декабре прошлого года. Данная уязвимость затрагивает web-сервер маршрутизаторов Netgear и позволяет злоумышленникам выполнять различные действия с правами администратора. По словам эксперта Forkbombus Labs Стю Гортона (Stu Gorton), атакующий эксплуатировал уязвимость для загрузки и исполнения RouteX на маршрутизаторах с уязвимой версией прошивки.

Двумя основными функциями RouteX являются установка на зараженное устройство SOCKS-прокси и добавление правил iptable (утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана), предотвращающих дальнейшую эксплуатацию уязвимости и ограничивающих доступ устройства к нескольким IP-адресам, находящимся под контролем злоумышленника.

Инфицированные маршрутизаторы используются для проведения атак Credential Stuffing — вида брутфорс-атак, в которых перебор вариантов осуществляется не по словарю или спискам расхожих логинов и паролей, а по заранее приобретенной базе данных. Прокси-серверы, установленные на маршрутизаторах, позволяют злоумышленнику атаковать новые IP-адреса и обходить системы защиты от брутфорс-атак. По словам экспертов, в основном хакер атакует компании из списка Fortune 500.

В настоящее время размер ботнета неизвестен. Это связано с тем, что зараженные устройства не поддерживают постоянную связь с C&C-сервером и злоумышленник подключается к ним только в случае необходимости.

Проанализировав исходный код RouteX, исследователи смогли идентифицировать его автора. Вирусописатель известен на форуме Exploit.in под псевдонимом Links. По словам исследователей, Links также является разработчиком одноименного вредоносного ПО, заразившего устройства Ubiquiti Networks в октябре 2016 года.