Вирусописатель создает новый «смертельный» ботнет из устройств AVTech
Злоумышленник использует опубликованный в 2016 году эксплоит для 14 известных уязвимостей в прошивке устройств AVTech.
Известный как EliteLands автор вредоносного ПО в настоящее время собирает ботнет под названием Death («Смерть»), атакуя устройства от тайваньского производителя электроники AVTech. Злоумышленник использует опубликованный еще в 2016 году эксплоит для 14 известных уязвимостей в прошивке видеорегистраторов, IP-камер и других устройств производства AVTech. Жертвами EliteLands становятся продукты с устаревшими уязвимыми версиями прошивки, раскрывающими пароли для доступа к управлению устройствами в незашифрованном виде. Проэксплуатировав уязвимости, злоумышленник может без какой-либо авторизации добавлять пользователей устройства. По словам исследователя из NewSky Security Анкита Анубхава (Ankit Anubhav), первым обнаружившего новый ботнет, EliteLands действительно добавляет новые учетные записи пользователей, однако в качестве паролей для них использует команды оболочки.
Дело в том, что устройства AVTech с устаревшей прошивкой также уязвимы к внедрению команд и способны принимать пароли в качестве команды оболочки, благодаря чему атакующий может получить контроль над ними. «Если я использую в качестве пароля reboot, система AVTech перезагрузится. Конечно, ботнет Death выполняет гораздо больше, чем просто перезагрузку», — пояснил исследователь порталу Bleeping Computer.
По словам Анубхава, EliteLands пробовал добавлять в поле пароля различную полезную нагрузку, но остановился на создании ботнета Death. Злоумышленник добавляет новые учетные записи пользователей с продолжительностью «жизни» в 5 минут. За это время выполняется полезная нагрузка, а затем учетная запись исчезает с атакуемого устройства.
Размер нового ботнета пока неизвестен. Используемые для его создания уязвимости были исправлены производителем еще в начале 2017 года.