Контакты
Подписка
МЕНЮ
Контакты
Подписка

Вирусописатель создает новый "смертельный" ботнет из устройств AVTech

Вирусописатель создает новый "смертельный" ботнет из устройств AVTech

Вирусописатель создает новый "смертельный" ботнет из устройств AVTech


25.07.2018

Вирусописатель создает новый "смертельный" ботнет из устройств AVTech

Известный как EliteLands автор вредоносного ПО в настоящее время собирает ботнет под названием Death ("Смерть"), атакуя устройства от тайваньского производителя электроники AVTech. Злоумышленник использует опубликованный еще в 2016 году эксплоит для 14 известных уязвимостей в прошивке видеорегистраторов, IP-камер и других устройств производства AVTech.

 Жертвами EliteLands становятся продукты с устаревшими уязвимыми версиями прошивки, раскрывающими пароли для доступа к управлению устройствами в незашифрованном виде. Проэксплуатировав уязвимости, злоумышленник может без какой-либо авторизации добавлять пользователей устройства. По словам исследователя из NewSky Security Анкита Анубхава (Ankit Anubhav), первым обнаружившего новый ботнет, EliteLands действительно добавляет новые учетные записи пользователей, однако в качестве паролей для них использует команды оболочки.

 Дело в том, что устройства AVTech с устаревшей прошивкой также уязвимы к внедрению команд и способны принимать пароли в качестве команды оболочки, благодаря чему атакующий может получить контроль над ними. "Если я использую в качестве пароля reboot, система AVTech перезагрузится. Конечно, ботнет Death выполняет гораздо больше, чем просто перезагрузку", - пояснил исследователь порталу Bleeping Computer.

 По словам Анубхава, EliteLands пробовал добавлять в поле пароля различную полезную нагрузку, но остановился на создании ботнета Death. Злоумышленник добавляет новые учетные записи пользователей с продолжительностью "жизни" в 5 минут. За это время выполняется полезная нагрузка, а затем учетная запись исчезает с атакуемого устройства.

 Размер нового ботнета пока неизвестен. Используемые для его создания уязвимости были исправлены производителем еще в начале 2017 года.

 

Securitylab