Желающие создать ботнет Reaper стали жертвами хакеров

Желающие создать ботнет Reaper стали жертвами хакеров

Несколько недель назад мир узнал о ботнете Reaper. Он отличается от других тем, что для поиска уязвимых устройств "Интернета вещей" (IoT) его операторы используют IP-сканер, а уже затем с помощью эксплоитов для различных уязвимостей устанавливают на них вредоносное ПО Reaper. К примеру, операторы Mirai и Hajime использовали для взлома IoT-устройств брутфорс-атаки.

 Шумихой вокруг Reaper воспользовался предприимчивый мошенник, сообразивший, что мечтающие стать хакерами скрипт-кидди ринутся в Сеть в поисках инструментов для создания собственных ботнетов. Мошенник создал сайт, рекламирующий IP-сканер. Этот сканер представляет собой PHP-скрипт, читающий IP-адреса из локального текстового файла poop.txt, проверяющий наличие на устройствах сервера GoAhead и записывающий все положительные результаты в файл GoAhead-Filtered.txt.

 Желающие создать свой ботнет заинтересовались скриптом, поскольку с его помощью они могли идентифицировать устройства с серверами GoAhead (как правило, IP-камеры для видеонаблюдения). Малоопытные или невнимательные хакеры, не обратившие внимание на исходный код сканера, могли не заметить, что большая часть PHP-скрипта была обфусцирована с помощью целой стены случайных символов.

 Проблему обнаружил старший исследователь компании NewSky Security Анкит Анубхав (Ankit Anubhav). По словам эксперта, скрипт был зашифрован несколько раз с помощью ROT13 и base64 и сжат с помощью утилиты gzip. После декомпиляции кода Анубхав обнаружил бэкдор, который легко было не заметить из-за обфускации кода.

 Как пояснил исследователь, код состоит из четырех частей. Первая представляет собой обещанный полнофункциональный IP-сканер. Вторая часть запускает команды Bash, добавляющие дополнительного пользователя на Linux-сервер, где жертва выполняла скрипт IP-сканера. Третья часть авторизует IP-адрес жертвы на удаленном сервере. Четвертая часть загружает и выполняет на сервере с установленным IP-сканером вредоносное ПО Kaiten. Таким образом, хакеры, желающие создать собственный ботнет Reaper, становились частью ботнета Kaiten.

 На момент написания новости рекламирующий IP-сканер сайт уже не работал, однако, по словам Анубхава, мошенники продолжают продавать свой продукт на хакерских форумах.

Securitylab