Представители итальянской ИБ-компании VoidSec обнародовали материал касаемо недавно обнаруженного ботнета, состоящего из маршрутизаторов Aethra. Этот ботнет использовался злоумышленниками для проведения кибератак, направленных против сайтов на базе WordPress.
Одну из подобных атак в феврале текущего года обнаружил специалист VoidSec в ходе проверки личного веб-сайта WordPress. В результате проведенного анализа выяснилось, что нападение осуществлялось с IP-адресов, которые относятся к шести Интернет-провайдерам: BSI Assurance UK, BT-Italia, Clouditalia, Fastweb, Qcom и WIND. В большинстве своем данные компании устанавливают клиентам маршрутизаторы Aethra.
Во многих маршрутизаторах использовались логин и пароль, которые были установлены по умолчанию, что дало злоумышленникам возможность произвести взлом устройств и загрузить вредоносное программное обеспечение. По словам экспертов, в некоторых устройствах также присутствуют CSRF- и XSS-уязвимости, которые позволяют хакеру заполучить доступ к маршрутизатору даже при использовании разных логинов.
Благодаря поисковой системе Shodan эксперты VoidSec обнаружили по всему миру более 12000 маршрутизаторов Aethra. 10866 устройств находятся в Италии. В проведении кибератак злоумышленники задействовали 8000 маршрутизаторов. Сейчас около 70% устройств работают с настройками по умолчанию. Специалисты подсчитали, что каждый зараженный маршрутизатор может проводить DDoS-атаки мощностью от 1,7 до 17 Гб/с.
Эксперты вышли на связь с BT-Italia и Fastweb – крупнейшими Интернет-провайдерами Италии, чьи маршрутизаторы были задействованы в киберкампании. В Fastweb отреагировали достаточно быстро: исправление для прошивки было создано за неделю. Представители BT-Italia признали наличие уязвимости, но за 11 месяцев она так и не была устранена.