DDoS на заказ: как Matrix монетизирует крупнейшую ботнет-сеть через Telegram

Исследователи AquaSec обнаружили масштабную кампанию DDoS-атак, организованную группировкой Matrix. Её киберпреступная деятельность демонстрирует, как доступные инструменты и минимальные технические знания позволяют проводить атаки глобального масштаба. Основными целями являются уязвимые IoT-устройства и корпоративные серверы.

Злоумышленники используют комбинацию брутфорса, публичных скриптов и уязвимостей, чтобы создавать ботнеты. Среди атакуемых устройств — IP-камеры, DVR, роутеры и телеком-оборудование. Также они нацеливаются на серверы Hadoop и HugeGraph, эксплуатируя известные уязвимости.

Большинство атак основано на простых методах, таких как использование стандартных паролей. После компрометации устройства становятся частью ботнета, используемого для DDoS-атак. Анализ выявил 167 уникальных пар логинов и паролей, из которых 80% относятся к пользователям root или admin.

Значительная часть инфраструктуры атаки строится на общедоступных инструментах. Например, Matrix активно использует скрипты из GitHub, дорабатывая их под свои задачи. Это свидетельствует о росте угрозы, исходящей от так называемых «скрипт-кидди» — менее опытных, но технически оснащённых злоумышленников.

Основной акцент группировки сделан на странах Азиатско-Тихоокеанского региона, включая Китай и Японию, где широко используются IoT-устройства.

Ключевые уязвимости, эксплуатируемые Matrix, включают CVE-2024-27348, CVE-2017-18368 и другие. Под угрозой находятся миллионы интернет-устройств. Даже если лишь 1% из них будет уязвим, потенциальный размер ботнета составит 350 000 устройств.

Matrix также продаёт свои услуги через Telegram-бота «Kraken Autobuy», предлагая DDoS-атаки разных уровней. Это подчёркивает бизнес-подход к эксплуатации ботнета, что усиливает угрозу для компаний и инфраструктуры.

Исследователи AquaSec призывают компании и простых пользователей укреплять базовую защиту: обновлять прошивки, изменять стандартные пароли и изолировать админские протоколы. Эти меры помогут предотвратить массовую эксплуатацию уязвимых устройств и снизить масштаб киберугроз.