Эксперты пытаются оценить размеры и возможности ботнета Reaper

4b73ce4cb582068709bdae7926e9e11d.jpgВсего несколько дней назад на Geektimes публиковалась информация о черве Reaper и одноименном ботнете. В какой-то степени Reaper является преемником Mirai, червя, который поразил многие десятки тысяч IoT-устройств в прошлом году. Тогда же при помощи этих устройств, объединенных в единую систему, были осуществлены мощные атаки на провайдеров хостинг-услуг, банковские организации и даже серверы частных лиц.

Вполне может быть, что Reaper опаснее Mirai, хотя специалисты об этом еще спорят. Сейчас о масштабах и возможностях нового ботнета известно больше, чем раньше благодаря деятельности сразу нескольких организаций, работающих в сфере информационной безопасности. Специалисты этих компаний тщательно изучают возможности червя и ботнета, регулярно публикуя полученные данные в сети.
Некоторые факты, полученные в ходе изучения ботнета, говорят о том, что Reaper создавался силами аматоров, которые вовсе не рассчитывали на то, что их создание поразит такое количество устройств по всему миру. Говоря «аматоры», мы вовсе не подразумеваем, что создатели системы — новички в сфере разработки ПО. Но эта команда (или один человек?) явно не слишком опытны в вопросах разработки зловредного ПО и создания ботнетов. Например, этот червь не защищает уже зараженные устройства от других зловредов. Это довольно необычно для ПО, формирующего ботнет. В то же время Reaper может искать зараженные Mirai устройства и тоже заражать их (это примерно то же, что делал Mirai с собственным предшественником — Qbot).

Масштабы бедствия


Сейчас самое важное — это размеры ботнета. Специалисты компании Check Point, которые первыми обратили внимание на Reapth, считают, что зловред поразил сотни тысяч устройств по всему миру (возможно, что речь идет о миллионе IoT-устройств). Это сразу ставит этот ботнет во главу угла — если оценка действительно правильная, то равных Reaper еще не было.

Компания Check Point обнаружила около 30 тысяч зараженных гаджетов. По мнению представителей этой компании, обнаруженные IoT «жертвы» — лишь малая толика общего числа пораженных червем систем. Представители компании утверждают, что если экстраполировать, то вполне можно говорить о миллионе «IoT-зомби» или даже большем их количестве. Такого числа зараженных устройств, объединенных в единое целое пока еще не было.

Правда, есть и другие мнения. Их высказывают представители других компаний, утверждая, что число зараженных устройств никак не может достигать 1 млн, подвергая сомнению слова Check Point. В общем-то, ботнет еще не слишком хорошо изучен, так что место для ошибки действительно есть.

Китайская компания по кибербезопасности Netlab 360, которая также сообщала о Reaper, утверждает, что на данный момент число зараженных устройств составляет десятки тысяч, но не сотни, и тем более, не миллион. В своем последнем сообщении эта компания заявила о 28 000 инфицированных «ботов». С китайскими коллегами согласны представители компании Arbor Networks. Тем не менее, большинство специалистов по кибербезопасности согласны с тем, что червь Reaper чрезвычайно опасен и способен за короткое время поразить массу устройств.

Время атаки — неизвестно


Действует зловред примерно так же, как и его предшественники — сканирует подключенные к сети IoT гаджеты, и определяет те из них, которые уязвимы. Их довольно много, поскольку производители, к сожалению, вовсе не стремятся быстро исправлять проблемы с сетевой безопасностью своих гаджетов. При этом Reaper действует не очень быстро. Может быть, потому, что атакующий компонент зловреда не имеет возможностей быстро атаковать своих жертв. А может, потому, что создатели ботнета специально сделали его менее агрессивным, чтобы затруднить возможность обнаружения «кибербезопасниками».

Интереснее всего то, что в отличие от многих других зловредов, формирующих ботнеты, Reaper «погибает» при перезагрузке устройства. То есть реальное число зараженных устройств постоянно меняется. Некоторые IoT-девайсы перезагружаются довольно часто, соответственно, «волатильность» ботнета очень большая.

По мнению компании Radware, каждый день червь Reaper заражает от 200 до 500 различных устройств. На то, чтобы заразить гаджет, у червя уходит от получаса до полутора часов. Эта же компания в прошлом году наблюдала за распространением Mirai. Он поражал одно устройство всего за две минуты. Эксперты по сетевой безопасности говорят, что, судя по числу уязвимостей IoT-систем, используемых червем, лишь около 350 тысяч устройств по всему миру доступно для заражения. Это лишь предположение, которое контрастирует с оценками других компаний, но оно заслуживает право на жизнь.

fda797fbcbaebab63761d03bceca18d0.jpg

Зачем это все?


Еще один момент это то, что намерения создателей Reaper неясно. Главное что стоит помнить — пока что никаких попыток осуществления DDoS-атаки не было. Зачем этот ботнет вообще создан, неизвестно.

Плюс ко всему, управляющие сервера ботнета используют статические имена и IP-адреса. А это делает задачу блокирования таких серверов легкой. Другие ботнеты гораздо более опасны в этом плане. Например, Hajime гораздо сложнее поразить или обезвредить. Он использует одновременно несколько BitTorrent-адресов для того, чтобы изменять хэш или «цифровой отпечаток», что и происходит буквально каждый день.

Не так давно были созданы черви, «паразитирующие» на уже зараженных устройствах. Некоторые из таких червей атакуют «жильца» системы и ликвидируют его. Как действует система? Пока до конца неясно. Тем не менее, стало понятно, что, если сформированный ботнет все же будет сформирован, бороться с ним будет гораздо легче, чем с другими программными комплексами такого рода.

Кто знает, может все эти кажущиеся «ляпы» лишь стремление создателей зловреда сделать свое детище в глазах специалистов менее опасным, чем были предшественники. В течение одного дня все может измениться — создатели ботнета дадут команду и тогда мы увидим превращение этой системы в нечто гораздо более опасное, чем она представляет собой сейчас.

Как уже сообщалось, существует вероятность того, что Reaper создан вовсе не для проведения DDoS-атак. Его могли спроектировать для других нужд. Возможностей очень много, от майнинга криптовалют (хотя особо много на IoT системах не намайнишь) до создания распределенной вычислительной сети иного типа. Майнингом биткоинов занимался, например, вариант трояна ELF Linux/Mirai с добавленным криптовалютным блоком. Количество монет, которые может намайнить одно IoT-устройство, смехотворно, речь идет о миллионных частях единицы криптовалюты. Но если в ботнет объединены миллионы устройств, то немного заработать все же получится.

Кстати, ранее говорилось о том, что ботнет сканирует сеть на наличие устройств, подверженных следующим уязвимостям:


После обновления Reaper к этому списку добавилась десятая уязвимость, которой подвержены устройства D-Link DIR-645. Кроме того, зловред может в скором времени добавить эксплоит для уязвимости CVE-2017–8225. Этой уязвимости подвержены более сотни тысяч IoT устройств, в большинстве своем это камеры с программным модулем WIFICAM.

Представители компании F5 считают, что если разработчики ботнета добавят еще несколько уязвимостей, то зловред сможет инфицировать не десятки тысяч, а миллионы устройств — более 3,5 миллионов. Преимуществом нового ботнета является то, что у него есть механизм обновления, в отличие от Mirai. То есть разработчики могут добавлять практически любые функции по своему усмотрению, в любой момент.

Хуже всего то, что разработчики используют язык программирования Lua, который позволяет использовать Reaper не только для DDoS, а для гораздо более широкого круга задач.

Есть также возможность, что не Reaper начнет инфицировать миллионы устройств, а какой-то другой ботнет, создатели которого возьмут за основу эксплоиты, которые заложены в основу Reaper. Как бы там ни было, угроза активации ботнета сейчас очень высокая, и никто не может предсказать, что будет делать Reaper после «пробуждения».

© Geektimes