Как рядовые IoT-устройства становятся марионетками в хакерских играх?
Семь лет спустя после появления ботнета Ngioweb он всё ещё остаётся одной из главных угроз в сфере кибербезопасности. Этот прокси-сервер активно используется злоумышленниками для поиска уязвимых гаджетов, таких как роутеры и IoT-устройства, которые затем превращаются в «резидентные» прокси и продаются через платформу Nsocks. Стоимость доступа к заражённым IP-адресам начинается от $0.20 за сутки, а доступность таких прокси по всему миру позволяет хакерам скрывать свою активность.
Nsocks предлагает клиентам около 30 тысяч IP-адресов по ценам до $1.50 за 24-часовой доступ. Около 75% инфицированных устройств принадлежат частным пользователям, что делает их предпочтительной целью. Среди наиболее атакуемых — маршрутизаторы Zyxel, устройства Linear eMerge и роботы-пылесосы Neato. Использование специализированных сканеров для каждого типа уязвимых устройств позволяет злоумышленникам скрыть весь арсенал эксплойтов, что затрудняет их обнаружение.
С момента первого упоминания о Ngioweb в отчёте Check Point в 2018 году его код почти не претерпел изменений. Сохранились и каналы командного управления, через которые атакующие получают данные о заражённых устройствах. Несмотря на попытки исследователей заблокировать работу Ngioweb, преступники добавили уникальные проверки, которые помогают избежать обнаружения.
В прошлом году наблюдался резкий рост количества прокси, работающих через Ngioweb, благодаря появлению новых уязвимостей и активному использованию малозаметных IP-адресов. Например, компания LevelBlue Labs недавно зафиксировала заражение через Linear eMerge и Zyxel, которые эксплуатируются для получения доступа к IP-адресам по всему миру, включая США, Великобританию и Канаду.
Nsocks, работающая с 2022 года, продаёт заражённые системы как SOCKS5-прокси, что позволяет злоумышленникам выбирать устройства по местоположению, скорости соединения и типу устройства. Оплата принимается только в криптовалюте, что обеспечивает анонимность для злоумышленников и их клиентов.
Обширное использование домашнего оборудования, такого как Neato и Zyxel, говорит о том, что частные пользователи всё чаще становятся жертвами. Устройства продолжают подключаться к сети, часто не зная об угрозе, и используются для анонимизации вредоносной деятельности злоумышленников.
Никаких овечек — только отборные научные факты