Бэкдор поставляется еще с одним бэкдором для незаметного взлома того, кто его использует.
Создатель IoT-ботнета распространяет бэкдор для маршрутизаторов ZTE, в котором спрятан еще один бэкдор для взлома тех, кто его использует. Как сообщают эксперты NewSky Security, хакер под псевдонимом Scarface входит в топ-20 наиболее значимых фигур на киберпреступной сцене в сфере «Интернета вещей». Scarface часто продает свои эксплоиты так называемым скрипт-кидди (малоопытным «хакерам») и имеет хорошую репутацию. Тем не менее, он не гнушается продажей известных эксплоитов под видом уязвимостей нулевого дня и скриптов, зараженных бэкдорами. К примеру, Scarface продает эксплоит для известной уязвимости в маршрутизаторе ZTE ZXV10 H108L, также содержащий бэкдор для взлома того, кто его использует.
Эксплуатация уязвимости в маршрутизаторе ZTE предполагает использование аккаунта-бэкдора для входа в систему после внедрения команды в manager_dev_ping_t.gch. Созданный Scarface эксплоит предназначен для данной уязвимости, однако имеет некоторые отличительные особенности. В частности, он атакует устройства не через стандартные порты 80/8080, а через порт 8083. Код также содержит переменную login_payload для использования бэкдора и command_payload для внедрения команд.
Кроме того, есть еще одна переменная – auth_payload, содержащая бэкдор, зашифрованный с помощью base64. Этот бэкдор выполняется незаметно, отдельно от процесса эксплуатации уязвимости в маршрутизаторе.
В заражении ботнетов-конкурентов бэкдорами есть определенный смысл. Заразив системы «скрипт-кидди», такой крупный игрок, как Scarface может получить контроль над созданными ими небольшими ботнетами или разрушить их для устранения конкуренции.
