Исследователям Recorded Future, специализирующиеся на сборе и анализе информации об интернет-угрозах, смогли определить, что DDoS-атаки, зафиксированные в январе в финансовом секторе Нидерландов, проводились с ботнета IoTroop.
Бот-сеть IoTroop (Reaper) впервые появилась на радарах еще в сентябре. Лежащий в ее основе зловред был распознан как вариант DDoS-бота Mirai, способный проникать на сетевые и IoT-устройства не только подбором логинов и паролей, но также посредством эксплуатации уязвимостей. Пытаясь определить размеры IoTroop, эксперты разошлись во мнениях, но какой бы ни была величина нового ботнета, он до сих пор ни разу не был замечен в реальных атаках.
Эксперты почти наверняка установили, что IoTroop был задействован как минимум в одной из январских DDoS-атак в Нидерландах. На линии огня оказались крупнейшие голландские банки — ING, ABN Amro, Rabobank. Источник вредоносного трафика на тот момент определить не удалось.
Сильнейшая из этих DDoS, на пике показавшая 30 Гбит/с, проводилась с отражением и усилением трафика через открытые DNS-резолверы. В ней приняли участие не менее 13 тыс. зараженных устройств; 80% из них были идентифицированы как роутеры производства MikroTik. В составе атакующего ботнета засветились также уязвимые серверы Apache и IIS, роутеры от Ubiquity, Cisco и ZyXEL, а также разнообразные веб-камеры, смарт-телевизоры и цифровые видеорегистраторы охранных систем.
Некоторые из этих IoT-устройств ранее никто не рассматривал в качестве потенциальных жертв IoTroop — например, видеорегистраторы производства Dahua, телевизоры Samsung UE55D7000, смарт-устройства под управлением специализированной ОС Contiki, обеспечивающей подключение к Интернету.
Всего удалось выявить заражения в 139 странах; более половины из них пришлось на долю России, Бразилии, Украины, Китая и США. Эксперты полагают, что столь значительный перевес объясняется лишь популярностью бренда MikroTik в этих странах.
Примечательно, что на всех зараженных роутерах этого вендора был открыт TCP-порт 2000, который обычно резервируется для тестирования пропускной способности каналов. На новейших устройствах MikroTik этот порт открыт по умолчанию.
