Маршрутизаторы Tenda подверглись массовому заражению
Злоумышленники используют две уязвимости в ряде маршрутизаторах китайской организации Tenda для включения их в ботнеты, заявили в Netlab — подразделении по информационной безопасности компании Qihoo 360. Об этом 4 октября сообщил американский портал ИТ-новостей ZDNet.
Как выясняли исследователи Netlab, злоумышленники уже год эксплуатируют уязвимости маршрутизаторов Tenda. Первая из этих уязвимостей была обнаружена ноябре 2019 года, вторая — в августе 2020 года.
Злоумышленники используют зараженные устройства для пополнения управляемой распределенной сети устройств (ботнет) интернета вещей (IoT). Эта сеть, получившая название Ttint, в дальнейшем выступает генератором трафика для атак типа отказ в обслуживании (DDoS).
Зловредный код, после начала работы на маршрутизаторе, открывает в общей сложности 12 каналов удаленного доступа к устройству. Причем, отметили исследователи, каналы передачи данных шифруются, а сервера управления ботнетом постоянно перемещаются. Таким образом, Ttint является весьма сложным в сравнении с другими ботнетами.
В июле 2020 года исследователь другой компании — Independent Security Evaluators Санжана Сарда опубликовал подробный отчет о первой из двух используемых уязвимостях и еще четырех других, менее опасных. Несмотря на это, производитель так и не выпустил обновление, устраняющее уязвимости.
В то же время хакеры не стали дожидаться, будет ли выпущено исправление, а стали использовать вторую уязвимость. Уязвимыми стоит считать все маршрутизаторы Tenda с версиями прошивки от AC9 до AC18, заявили в Netlab.
Подробности второй уязвимости они публиковать не стали, опасаясь, что и другие группы злоумышленников начнут ее использовать в собственных интересах.
Специалист компании в области информационной безопасности Radware Паскаль Гиненс прокомментировал информацию о выявленном ботнете. Он заявил, что ни одну из функций ботнета не следует считать чем-то уникальным, но все в комплексе они являются новым и опасным явлением.
Появление Ttint может означать созревание нового уровня сложности вредоносного программного обеспечения и хакерских кампаний, направленных на устройства IoT.