Как сообщают эксперты из компании Akamai Technologies, мощность ботнета, созданного на основе Linux-вируса XOR DDoS, превысила 150 Гбит/с, что во много раз больше пропускной способности почти всех существующих корпоративных сетей.
Каждый день киберпреступники, используя ботнет, атакуют до 20 целей, большая часть из которых находится в Азии. Чаще всего целями хакеров являются компании, работающие в игровой индустрии, и учреждения образования.
В состав ботнета входят WiFi-роутеры, серверы и сетевые системы хранения данных, в которые была внедрена троянская программа XOR DDoS. Как утверждают аналитики, взлом всех устройств, ставших частью ботнета, осуществлялся по протоколу SSH через перебор паролей для доступа к настройкам устройства.
По данным FireEye, скорость перебора паролей на одно устройство превышает 20 тысяч попыток в сутки. На одном из наблюдаемых серверов аналитиками было зафиксировано более 1 миллиона попыток в промежутке с ноября прошлого года по конец января этого года.
Угадав пароль, злоумышленники пересылают на устройство SSH-сообщение. Иногда длина такого сообщения может достигать 6 тысяч символов, которые представляют собой команды, разделенные точкой с запятой.
Троянская программа XOR DDoS была в первый раз обнаружена в сентябре минувшего года группой исследователей Malware Must Die. Как считают аналитики, программа была разработана в Азии. Согласно информации FireEye, во многих случаях сетевые устройства взламывались с IP-адресов, которые принадлежат гонконгской организации Hee Thai.
Как утверждают аналитики из Akamai, ботнет на основе XOR DDoS является примером мощной вредоносной инфраструктуры, созданной на базе открытого программного обеспечения.
Эксперты из Akamai в своем отчете обращают внимание на то, что десять лет назад Linux являлся более защищенной альтернативой Windows, на которую в то время совершалось большинство атак. Это спровоцировало активный переход на Linux компаний, желавших усилить свою инфраструктуру. Но ввиду увеличения количества пользователей Linux-систем, возрос и интерес киберпреступников к ним.
По мнению аналитиков, данная тенденция продолжится, а значит и хакеры будут активно пользоваться троянской программой XOR DDoS и развивать ее.
В мае текущего года исследователи из организации Incapsula объявили о том, что ими было обнаружено более 40 тысяч офисных и домашних роутеров, инфицированных троянскими программами Dofloo, Mayday и MrBlack. Все три программы созданы хакерами для осуществления DDoS-атак и предназначаются для устройств, находящихся под управлением операционных систем с ядром Linux.