Новый P2P-ботнет атакует роутеры Netgear, D-Link и Huawei

Новый P2P-ботнет атакует роутеры Netgear, D-Link и Huawei

Новый P2P-ботнет атакует роутеры Netgear, D-Link и Huawei

Маршрутизаторы компаний Netgear, D-Link и Huawei стали новой целью для киберпреступников — атакующие используют слабые пароли Telnet для взлома устройств P2P-ботнетом Mozi.

Есть основания полагать, что Mozi каким-то образом связан с вредоносом Gafgyt, поскольку ботнет использует отдельные куски его кода.

За активностью Mozi на протяжении четырёх месяцев наблюдали специалисты компании 360 Netlab. Как выяснили исследователи, основная задача ботнета — осуществлять DDoS-атаки. Mozi задействует DHT (Distributed Hash Table — «распределённая хеш-таблица»), которая обычно используется торрент-клиентами и другими P2P-платформами.

Таким образом, операторам удаётся быстрее установить сеть ботнета без необходимости использовать серверы, а также эффективнее прятать вредоносную составляющую среди нормального DHT-трафика.

«В этом случае детектировать пейлоад просто невозможно без должного знания ситуации», — подчёркивает команда 360 Netlab.

Mozi пытается обеспечить целостность и безопасность своих компонентов и P2P-сети при помощи алгоритмов ECDSA384 и XOR.

Как было отмечено выше, ботнет использует эксплойты для известных уязвимостей и слабые учётные данные. Список атакуемых устройств выглядит так:

Затронутое устройство Уязвимость
Eir D1000 Router
Eir D1000 Wireless Router RCI
Vacron NVR Vacron NVR RCE
Девайсы, использующие Realtek SDK CVE-2014-8361
Netgear R7000 and R6400 Netgear cig-bin (инъекция команды)
DGN1000 Netgear роутеры Netgear setup.cgi (удалённое выполнение кода без аутентификации)
MVPower DVR JAWS Webserver (выполнение команд без аутентификации)
Huawei Router HG532 CVE-2017-17215
Устройства D-Link HNAP SoapAction-Header (выполнение команды)
GPON Routers CVE-2018-10561, CVE-2018-10562
Устройства D-Link UPnP SOAP TelnetD (выполнение команды)
CCTV DVR CCTV/DVR (удалённое выполнение кода)

Роскомнадзор заявил, что не блокирует EA Sports FC и Battlefield 6

Российские игроки снова столкнулись с проблемами доступа к зарубежным сервисам, и снова Роскомнадзор говорит, что это не он. На фоне жалоб пользователей из России ведомство заявило, что не ограничивает доступ к играм EA Sports FC и Battlefield 6.

Ранее СМИ и телеграм-каналы писали, что у российских игроков возникли проблемы с работой сервисов Electronic Arts, в том числе с футбольным симулятором EA Sports FC и шутером Battlefield 6.

«Роскомнадзор не ограничивает доступ к играм EA Sports FC и Battlefield 6», — сообщили в ведомстве, комментируя ситуацию.

История выглядит уже почти как отдельный жанр: пользователи жалуются на недоступность сервиса, начинают подозревать блокировку, после чего регулятор выходит с коротким заявлением в духе «мы ничего не трогали».

Похожий сценарий недавно был со Steam. После жалоб российских пользователей Роскомнадзор также заявил, что не блокирует платформу Valve.

Еще один свежий пример — проблемы с доступом к PyPI, крупнейшему репозиторию пакетов для Python. Тогда российские разработчики массово сообщали о сбоях, но РКН заявил, что не ограничивает работу сервиса и не фиксирует проблем со своей стороны. Позже PyPI снова заработал в штатном режиме.

Пока причина неполадок с сервисами Electronic Arts остаётся неясной. Это может быть технический сбой, проблемы маршрутизации, ограничения на стороне зарубежной инфраструктуры или что-то еще. Но официальная позиция Роскомнадзора уже озвучена: EA Sports FC и Battlefield 6 ведомство не блокирует.

Для геймеров это, правда, слабое утешение.

RSS: Новости на портале Anti-Malware.ru