Anonymous and Co. crée un botnet de milliers de routeurs pour la maison et le bureau

La société Incapsula, engagée dans la recherche dans le domaine de la sécurité de l'information, rapporte qu'un certain groupe (très probablement avec Anonymous) a créé un botnet de milliers de routeurs installés dans les bureaux et les appartements. Dans ce cas, même les vulnérabilités des routeurs n'ont pas été utilisées, mais l'inattention des propriétaires à la sécurité lorsque l'utilisateur quitte le nom d'utilisateur et le mot de passe par défaut. Les liaisons de connexion / mot de passe par défaut pour presque tous les modèles de routeurs sont connues depuis longtemps, vous pouvez donc utiliser cette méthode sans difficulté.

Néanmoins, le travail des créateurs du botnet a été fait de manière solide: les routeurs des États-Unis, de Thaïlande et du Brésil ont été combinés en un seul réseau. Le botnet a commencé à fonctionner fin décembre 2014, atteignant des dizaines de cibles. En utilisant la bande passante des canaux de communication à domicile et au bureau, les attaquants ont créé une arme assez puissante qui a été utilisée contre toutes sortes de cibles en ligne.



Anonymous est suspecté de participer pour une raison, mais pour une raison sérieuse: de nombreux routeurs compromis ont transmis des données au serveur AnonOps.com, le point de rassemblement anonyme. Peut-être que ce groupe n'était pas le seul à avoir participé à la création du botnet.

L’activité du botnet a été remarquée pour la première fois l’année dernière, lorsque Incapsula a commencé à recevoir des plaintes de ses clients qui souffraient du fonctionnement du botnet (directement et indirectement). Une enquête plus approfondie que la formation du botnet a été rendue possible grâce à l'ouverture de milliers de routeurs avec des paramètres d'usine pour l'entrée.

Tous les routeurs étaient accessibles via HTTP et SHH, avec des ports par défaut. Dans le même temps, l'équipement n'a pas été piraté manuellement, mais à l'aide d'un logiciel spécial. Ce logiciel a infecté des routeurs vulnérables, qui ont ensuite eux-mêmes recherché des «victimes», infectant les appareils disponibles. Le script a fonctionné efficacement, ce qui a permis d'unir des milliers d'appareils en un seul réseau. Afin d'éviter d'entrer dans les listes noires, une analyse réseau distribuée a été utilisée. Dans le même temps, les attaquants ont utilisé plusieurs types de logiciels à la fois, dont le populaire cheval de Troie MrBlack, ainsi que des logiciels inconnus qui n'ont pas encore été identifiés.

Un rapport Incapsula complet sur cette question est disponible ici .