Анонимный исследователь создал ботнет из 420 тыс. доступных­ через Интернет устройств с Linux, на которых не сменили пароли, установленные по умолчанию. Ботнет, получивший название Carna, работал с марта по декабрь 2012 года. Все данные, собранные им, — 9 Тбайт — исследователь выложил в открытый доступ: результаты сканирования портов, показывающие наиболее часто используемые сервисы, сведения об общем числе реально­ задействованных адресов IPv4, миллионы записей traceroute и т. п. Клиент ботнета был написан на Си и занимал всего 60 Кбайт. Он работал, сканируя внешние IP-адреса и пытаясь заходить на них по telnet с использованием верительных данных наподобие root:root, admin:admin и т. п. Исследователь утверждает, что клиент был написан так, чтобы не нарушать нормальную работу устройств и игнорировать активность во внутренних сетях. По словам автора, в реальности незащищенных устройств было найдено вчетверо больше (веб-камеры, принтеры и т. п.), но на большинстве либо не было Linux, либо не было возможности загрузить двоичный файл. Выяснилось, что на некоторых из устройств также работает вредоносный ботнет Adira, пользующийся тем же способом заражения, сообщил исследователь. По его утверждению, такие устройства дезинфицировались.

«Дефолтные» боты

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF