TheMoon DDoS botnetidan proksi-serverga qayta o’qitildi
IoT botneti TheMoon YouTube reklama firibgarligi uchun trafikni proksi-server orqali uzatish uchun ishlatilgan.
AQSh internet-provayderi CenturyLink xavfsizlik tadqiqotchilari YouTube reklama firibgarligi uchun proksi-trafik sifatida ishlatiladigan narsalar interneti (IoT) qurilmalarining botnetini aniqladilar. Tadqiqotchilar firibgarlikni ba’zi CenturyLink qurilmalarini o’z ichiga olgan TheMoon botnetini tahlil qilish jarayonida aniqladilar. Qurilmalar mashhur veb-saytlarga qo’pol hujumlarni amalga oshirgan va butunlay yangi modul bilan qurollangan TheMoon zararli dasturi bilan zararlanganligi aniqlangan.
TheMoon botneti tadqiqotchilarga 2014-yildan beri ma’lum. Zararli dastur odatda ma’lum zaifliklar uchun eksploitlardan foydalangan holda marshrutizatorlar va IoT qurilmalarini yuqtirgan. Dastlab, botnet DDoS hujumlarini amalga oshirish uchun ishlatilgan, ammo so’nggi yillarda u DDoS sahnasidan yo’qolib keta boshladi. Mutaxassislarning fikricha, buning sababi shundaki, TheMoon endi hujumchilar tomonidan firibgarlik sxemalari uchun proksi sifatida foydalanilmoqda.
Tadqiqotchilarning shubhalari o’tgan yilning boshida, Qihoo 360 Netlab mutaxassislari TheMoonning birinchi proksi modulini kashf etganlarida tasdiqlandi. Endi CenturyLink mutaxassislari TheMoonning DDoS botnetidan proksi-serverga aylanishini tasdiqlovchi mutlaqo yangi, ilgari noma’lum modulni aniqladilar.
Hujumchilar quyidagicha ishlaydi: TheMoon zaif qurilmani zararlaydi va zararlangan qurilmada SOCKS5 proksi-serverini ochadigan qo’shimcha modulni yuklab oladi, zararli dastur operatorlari unga kirish huquqini boshqa kiberjinoyatchilarga sotadi.
