Pojavila se nova botnet mreža koju su 19. srpnja primijetili sigurnosni stručnjaci iz NewSky Security, a njihove su nalaze potvrdile skupine sigurnosnih stručnjaka Qihoo 360 Netlab, Rapid7 i Greynoise, objavio je Nacionalni CERT.

Sama botnet mreža izgrađena je korištenjem ranjivosti CVE-2017-17215 u Huawei HG532 usmjernicima, a pretraživanje uređaja s tom ranjivosti, koja može biti iskorištena putem porta 37215, počelo je 18. srpnja prema podacima Netlabova NetScan sustava.

Do kraja dana, botnet mreža narasla je do 18.000 usmjernika, a autor koji je stajao iz mreže javio se sigurnosnim stručnjacima kako bi se pohvalio svojim radom te im je čak i podijelio listu IP adresa žrtava.

Autor se predstavio pseudonimom Anarchy te, usprkos pitanjima, nije pojasnio zašto je stvorio tu botnet mrežu sigurnosnim stručnjacima iz portala Bleeping Computer i Ankitu Anubhavu iz sigurnosne tvrtke NewSky.

Međutim, Anubhav vjeruje kako je Anarchy zapravo prethodno bio poznat kao Wicked, zlonamjerni korisnik kojeg je Anubhav intervjuirao i koji se spominje u izvještaju tvrtke Fortinet.

Ako se ispostavi kako je Wicked stvarno postao Anarchy, može se zaključiti kako je riječ o poznatom autoru koji je razvio niz inačica raznih zlonamjernih sadržaja, prvenstveno Mirai IoT zlonamjernog sadržaja. Te inačice poznate su pod imenima Wicked, Omni i Owari (Sora) te su prethodno korištene u DDoS napadima.

Brzina kojom je uspostavljena ta botnet mreža zabrinjavajuća je, pogotovo ako se zna kako se Anarchy služio već poznatom ranjivošću koja je mnogo puta korištena. Najmanje je dva puta korištena u dvije inačice Satori, botnet zlonamjernog sadržaja te nekim manjim zlonamjernim sadržajima koji se baziraju na Mirai zlonamjernom sadržaju.

Iako je ta ranjivost poznata i korištena u DDoS napadima, korisnici i teleoperateri nisu napravili mnogo za otklanjanje ranjivosti što sigurnosne stručnjake veoma zabrinjava. Štoviše, Anarchy nastavlja sa zlonamjernim aktivnostima te je nedugo nakon usmjernika tvrtke Huawei počeo ciljati usmjernike tvrtke Realtek koje je moguće kompromitirati iskorištavajući ranjivost CVE-2014-8361 putem porta 52869.

Činjenica kako netko u jednom danu može stvoriti ogromnu DDoS botnet mrežu zabrinjavajuća je, ali i pokazuje stvarno stanje sigurnosnih problema.

Podijeli: