В отличие от большинства ботнетов, исходный код BCMUPnP_Hunter написан с нуля.
За последние два месяца стремительно разросся новый ботнет, в настоящее время насчитывающий порядка 100 тыс. инфицированных домашних маршрутизаторов. Судя по всему, операторы ботсети используют маршрутизаторы для связи с сервисами электронной почты в рамках масштабных спам-кампаний. Впервые ботнет был обнаружен в сентябре нынешнего года специалистами из Netlab Qihoo 360. Для заражения устройств его операторы использовали уязвимость пятилетней давности в ПО Broadcom UPnP SDK, используемом в тысячах моделей маршрутизаторов от различных производителей.
Уязвимость позволяет неавторизованному атакующему удаленно выполнять на маршрутизаторе вредоносный код. Другими словами, это наихудшая уязвимость, которая только может существовать в сфере «Интернета вещей» (IoT).
В прошлом данную уязвимость уже эксплуатировали другие ботнеты, однако обнаруженный специалистами из Netlab Qihoo 360 ботнет является абсолютно новым. Исследователи назвали его BCMUPnP_Hunter из-за непрерывного сканирования в поисках маршрутизаторов с незащищенным интерфейсом UPnP (порт 5431).
По данным экспертов, за последние два месяца сканирование осуществлялось с 3,37 млн IP-адресов, однако число активных устройств как правило составляет порядка 100 тыс. в день. Инфицированные маршрутизаторы разбросаны по всему, однако больше всего их в Индии, Китае и США.
В отличие от подавляющего большинства существующих в настоящее время IoT-ботнетов BCMUPnP_Hunter использует не один из доступных в Сети исходных кодов, а совершенно новый код. По словам исследователей, им не удалось найти похожий код в открытом доступе, а его авторы явно не новички и обладают серьезными навыками.
Еще одна отличительная черта BCMUPnP_Hunter – поэтапный процесс заражения. Инфицировав устройство, вредонос начинает сканировать сеть на наличие других уязвимых маршрутизаторов. Однако у него также есть еще одна функция, позволяющая использовать зараженное устройство в качестве прокси для установления связи между операторами ботнета и удаленными IP-адресами.
В частности, BCMUPnP_Hunter подключается к IP-адресам сервисов электронной почты, таким как Yahoo, Outlook и Hotmail. Поскольку подключение осуществляется через TCP-порт 25 (связан с протоколом Simple Mail Transfer Protocol, SMTP), исследователи уверены, что операторы ботнета занимаются рассылкой спама.
