Контакты
Подписка
МЕНЮ
Контакты
Подписка

Создатель IoT-ботнета продает бэкдор с бэкдором

Создатель IoT-ботнета продает бэкдор с бэкдором

Создатель IoT-ботнета продает бэкдор с бэкдором


14.11.2018



Создатель IoT-ботнета распространяет бэкдор для маршрутизаторов ZTE, в котором спрятан еще один бэкдор для взлома тех, кто его использует.

Как сообщают эксперты NewSky Security, хакер под псевдонимом Scarface входит в топ-20 наиболее значимых фигур на киберпреступной сцене в сфере "Интернета вещей". Scarface часто продает свои эксплоиты так называемым скрипт-кидди (малоопытным "хакерам") и имеет хорошую репутацию. Тем не менее, он не гнушается продажей известных эксплоитов под видом уязвимостей нулевого дня и скриптов, зараженных бэкдорами. К примеру, Scarface продает эксплоит для известной уязвимости в маршрутизаторе ZTE ZXV10 H108L, также содержащий бэкдор для взлома того, кто его использует.

Эксплуатация уязвимости в маршрутизаторе ZTE предполагает использование аккаунта-бэкдора для входа в систему после внедрения команды в manager_dev_ping_t.gch. Созданный Scarface эксплоит предназначен для данной уязвимости, однако имеет некоторые отличительные особенности. В частности, он атакует устройства не через стандартные порты 80/8080, а через порт 8083. Код также содержит переменную login_payload для использования бэкдора и command_payload для внедрения команд.

Кроме того, есть еще одна переменная – auth_payload, содержащая бэкдор, зашифрованный с помощью base64. Этот бэкдор выполняется незаметно, отдельно от процесса эксплуатации уязвимости в маршрутизаторе.

В заражении ботнетов-конкурентов бэкдорами есть определенный смысл. Заразив системы "скрипт-кидди", такой крупный игрок, как Scarface может получить контроль над созданными ими небольшими ботнетами или разрушить их для устранения конкуренции.

 

Securitylab