Бесплатно Экспресс-аудит сайта:

24.01.2020

Тысячи маршрутизаторов с прошивкой Tomato уязвимы к атакам ботнета Muhstik

Новая версия ботнета Muhstik атакует уязвимые маршрутизаторы с прошивкой Tomato. Muhstik в основном запускает криптовалютные майнеры и осуществляет DDoS-атаки.

Специалисты команды Unit 42 компании Palo Alto Networks обнаружили вредоносную кампанию в начале декабря 2019 года. Результаты поискового запроса Shodan выявили около 4600 доступных в Сети маршрутизаторов с прошивкой Tomato.

Новый вариант ботнета сканирует уязвимые маршрутизаторы на предмет TCP-порта 8080 и обходит web-аутентификацию администратора путем брутфорса встроенных учетных данных. В маршрутизаторах с прошивкой Tomato учетными данными по умолчанию являются «admin: admin» и «root: admin». Он также сканирует серверы Linux с установленной системой управления содержимым сайта WordPress и хостинговой панелью управления Webuzo и в нем реализованы модули для компрометации WebLogic-серверов.

Полезная нагрузка вредоносного ПО представляет собой двоичный файл tty0. Он содержит команды bash, которые могут выполняться на данных системах. Как отметили эксперты, первая команда используется для загрузки двоичного файла nvr.

«Файл nvr содержит команды для загрузки четырех дополнительных файлов, представляющих собой варианты IRC-ботнетов, которые работают на базе архитектур ARM и MIPS. Мы сосредоточили наш анализ на двоичном Pty5, поскольку он загружает файл daymon, представляющий собой сканер и содержащий новый модуль, нацеленный на уязвимые маршрутизаторы», — пояснили эксперты.

Затем скомпрометированное устройство отправляет команду подключения на IRC-сервер, которая содержит псевдоним устройства для присоединения к каналу.

Напомним, в мае 2018 года две уязвимости в домашних маршрутизаторах с поддержкой технологии GPON оказались под прицелом злоумышленников, которые предпринимали попытки инфицировать уязвимые устройства.

Tomato — прошивка с открытым исходным кодом для Wi-Fi-маршрутизаторов, основанная на HyperWRT. Поддерживает маршрутизаторы на чипах Broadcom.