Botnet EwDoor

Nová botnetová hrozba jménem EwDoor Botnet infikuje nechráněná zařízení podnikové sítě AT&T. Hrozba využívá čtyři roky starou kritickou zranitelnost sledovanou jako CVE-2017-6079. Exploit umožňuje útočníkům získat neomezený přístup root k cílovým zařízenímna dálku.

Konkrétním modelem napadeným v nedávné kampani je EdgeMarc Enterprise Session Border Controller. Taková zařízení běžně používají malé a střední podniky (malé a střední podniky) k zabezpečení a zpracování různých úkolů, jako jsou telefonní hovory, videokonference nebo jiné komunikační kanály v reálném čase. Protože fungují jako most mezi organizacemi a jejich ISP, jsou tito hraniční kontroloři relací hlavním cílem pro aktéry ohrožení, kteří chtějí zahájit útoky DDoS (Distributed Denial-of-Service) a shromažďovat citlivé informace.

Tisíce kompromitovaných zařízení

Výzkumníci z Qihoo 360's Network Security Research Lab poprvé odhalili hrozbu EwDoor Botnet. Byli také schopni identifikovat servery Command-and-Control (C2, C&C) aktérů hrozeb. Během pouhých tří hodin se vědcům podařilo identifikovat přibližně 5700 infikovaných zařízení. Poté hackeři přešli na jinou komunikaci C2. Kontrolou SSI certifikátů zařízení 360 Netlab zjistil, že přibližně 100 000 IP adres používá stejný certifikát SSI.

Ohrožující schopnosti

Analýza funkčnosti hrozby ukazuje, že je většinou zaměřena na spouštění DDoS útoků a vytváření zadních vrátek připojení k síti oběti. Aktuální verze botnetu EwDoor jsou vybaveny šesti hlavními funkcemi. Dokáže se sám aktualizovat, vyhledávat porty, manipulovat se systémem souborů, provádět DDoS útoky, spouštět reverzní shelly a dovolit útočníkům provádět libovolné příkazy na narušených serverech.

Společnost AT&T uvedla, že si je tohoto problému vědoma a podnikla kroky ke zmírnění jeho dopadu. Společnost zatím nenašla žádný důkaz, že by data jejích zákazníků byla kompromitována.