DDoS-убийца «Goldoon» атакует роутеры известного бренда через десятилетнюю брешь

DDoS-убийца «Goldoon» атакует роутеры известного бренда через десятилетнюю брешь

Неужели уязвимые предприятия не могли заменить свои устройства за столь долгий срок?

image

Недавно специалисты по кибербезопасности из компании Fortinet обнаружили невиданную ранее ботнет-сеть под названием Goldoon, нацеленную на маршрутизаторы D-Link через уязвимость CVE-2015-2051, о которой известно уже почти десять лет. Данная уязвимость имеет практически максимальную оценку по шкале CVSS (9.8 балла) и позволяет удалённым злоумышленникам выполнять произвольные команды с использованием специально сформированных HTTP-запросов.

Кара Лин и Винсент Ли, исследователи из Fortinet FortiGuard Labs, отметили, что после заражения устройства, атакующий получает полный контроль над ним, что позволяет хакерам извлекать информацию из системы, устанавливать связь с сервером управления и использовать заражённые устройства для дальнейших вредоносных действий, включая проведение DDoS-атак.

По данным телеметрии, всплеск активности данной ботнет-сети начался 9 апреля 2024 года. Злоумышленники используют вышеобозначенную уязвимость для загрузки вредоносного кода на различные архитектуры Linux-систем, после чего инициируется удаление следов вирусной активности, что усложняет обнаружение атаки.

Goldoon не только обеспечивает постоянное присутствие на заражённых устройствах, но и устанавливает связь с сервером управления для получения дальнейших инструкций. Ботнет способен осуществлять DDoS-атаки с использованием 27 различных методов по разным протоколам, включая DNS, HTTP, ICMP, TCP и UDP.

В контексте развития ботнетов, как указывают специалисты из Trend Micro, злоумышленники и государственные акторы всё чаще используют заражённые маршрутизаторы как слой анонимизации, сдавая их в аренду другим преступникам или коммерческим прокси-провайдерам. Такие действия увеличивают сложность обнаружения злонамеренной деятельности, смешивая её с легитимным трафиком.

Исследователи подчёркивают, что интернет-маршрутизаторы остаются привлекательной целью для киберпреступников, так как они часто обладают ограниченным мониторингом безопасности и устаревшим программным обеспечением.

Новость о ботнете Goldoon служит напоминанием о необходимости регулярного обновления программного обеспечения и укрепления мер безопасности на сетевых устройствах. А если срок поддержки рабочего маршрутизатора вышел, медлить с его заменой не стоит, чтобы у хакеров было как можно меньше шансов использовать его в своих злонамеренных целях.

DDoS-атаки — это, конечно, плохо, хотя и не смертельно. Однако кража учётных данных, на которую тоже способны некоторые вредоносы, вроде Cuttlefish, представляет уже абсолютно реальную угрозу любому предприятию. Такие вредоносы способны не только замедлить работу роутера, но и скомпрометировать действующие аккаунты компании, похитив всю ценную информацию. Именно поэтому защите своих сетевых устройств любая организация должна уделять первостепенное внимание.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь