Ботнет по имени «Матрешка» спрятался в Tor и устраивает DDoS-атаки

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
55.044
Репутация
62.940
Реакции
277.294
RUB
0

Ботнет, эксплуатирующий отладочный интерфейс Android Debug Bridge для заражения устройств, использует сложную структуру установления связи с контрольными серверами в Tor, за что и был назван Matryosh.



Закройте форточку

Компания Netlab, подразделение китайской ИБ-фирмы Qihoo 360, сообщила об обнаружении ботнета, состоящего из устройств под управлением операционной системы Android. Получивший характерное название Matryosh, данный ботнет атакует устройства с открытым и доступным из сети диагностическим интерфейсом Android Debug Bridge.


Этот интерфейс давно служит источником проблем — как для смартфонов, так и для smart-телевизоров и других подобных устройств. Как минимум пять семейств вредоносных программ — ADB.Miner, Ares, IPStorm, Fbot и Trinity — сканировали Сеть в поисках устройств с открытым интерфейсом отладки, подключались к ним и загружали вредоносный код.

Матрешечные соединения

Matryosh делает то же самое, но обладает своими особенностями. В частности, его управляющая инфраструктура запрятана в сеть Tor. Кроме того, он использует сложную и многоэтапную процедуру получения адреса командного сервера из разных источников (удаленных хостов, присылающих в ответ на запросы фрагменты необходимой информации) и установления связи с ним, — чему, собственно, и обязан своим «матрешечным» названием.

Основное назначение ботнета — проведение DDoS-атак

Проблема еще и в том, что если пользователи смартфонов могут без труда отключить ADB, то в интерфейсе других smart-устройств эта опция далеко не всегда доступна. То есть, устройства могут быть уязвимы в течение очень длительного времени. И Matryosh — явно не последний ботнет, который будет этим пользоваться.


matreshka600.jpg

Android-устройства захватывает ботнет «Матрешка» для DDoS-атак

По мнению исследователей, ботнет создается теми же людьми, которые стояли за двумя другими аналогичными операциями — ботнетом Moobot (2019) и LeetHozer (2020).


«К сожалению, пользователи часто не задумываются о том, как обезопасить свои smart-устройства от несанкционированных подключений, и даже не в курсе, что такое ADB и почему его необходимо деактивировать или прятать за файерволл, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Естественно, это создает самую благодатную почву для формирования ботнетов — да и не только для этого. Пользователь может и не догадываться, что его устройство заражено и участвует в DDoS-атаке, в то время как кто-то другой будет претерпевать весьма заметный ущерб».
 
Сверху Снизу