Эксперты пытаются оценить размеры и возможности ботнета Reaper

Всего несколько дней назад на Geektimes публиковалась информация о черве Reaper и одноименном ботнете. В какой-то степени Reaper является преемником Mirai, червя, который поразил многие десятки тысяч IoT-устройств в прошлом году. Тогда же при помощи этих устройств, объединенных в единую систему, были осуществлены мощные атаки на провайдеров хостинг-услуг, банковские организации и даже серверы частных лиц.

Вполне может быть, что Reaper опаснее Mirai, хотя специалисты об этом еще спорят. Сейчас о масштабах и возможностях нового ботнета известно больше, чем раньше благодаря деятельности сразу нескольких организаций, работающих в сфере информационной безопасности. Специалисты этих компаний тщательно изучают возможности червя и ботнета, регулярно публикуя полученные данные в сети.

Некоторые факты, полученные в ходе изучения ботнета, говорят о том, что Reaper создавался силами аматоров, которые вовсе не рассчитывали на то, что их создание поразит такое количество устройств по всему миру. Говоря «аматоры», мы вовсе не подразумеваем, что создатели системы — новички в сфере разработки ПО. Но эта команда (или один человек?) явно не слишком опытны в вопросах разработки зловредного ПО и создания ботнетов. Например, этот червь не защищает уже зараженные устройства от других зловредов. Это довольно необычно для ПО, формирующего ботнет. В то же время Reaper может искать зараженные Mirai устройства и тоже заражать их (это примерно то же, что делал Mirai с собственным предшественником — Qbot).

Масштабы бедствия

Сейчас самое важное — это размеры ботнета. Специалисты компании Check Point, которые первыми обратили внимание на Reapth, считают, что зловред поразил сотни тысяч устройств по всему миру (возможно, что речь идет о миллионе IoT-устройств). Это сразу ставит этот ботнет во главу угла — если оценка действительно правильная, то равных Reaper еще не было.

Компания Check Point обнаружила около 30 тысяч зараженных гаджетов. По мнению представителей этой компании, обнаруженные IoT «жертвы» — лишь малая толика общего числа пораженных червем систем. Представители компании утверждают, что если экстраполировать, то вполне можно говорить о миллионе «IoT-зомби» или даже большем их количестве. Такого числа зараженных устройств, объединенных в единое целое пока еще не было.

Правда, есть и другие мнения. Их высказывают представители других компаний, утверждая, что число зараженных устройств никак не может достигать 1 млн, подвергая сомнению слова Check Point. В общем-то, ботнет еще не слишком хорошо изучен, так что место для ошибки действительно есть.

Китайская компания по кибербезопасности Netlab 360, которая также сообщала о Reaper, утверждает, что на данный момент число зараженных устройств составляет десятки тысяч, но не сотни, и тем более, не миллион. В своем последнем сообщении эта компания заявила о 28 000 инфицированных «ботов». С китайскими коллегами согласны представители компании Arbor Networks. Тем не менее, большинство специалистов по кибербезопасности согласны с тем, что червь Reaper чрезвычайно опасен и способен за короткое время поразить массу устройств.

Время атаки — неизвестно

Действует зловред примерно так же, как и его предшественники — сканирует подключенные к сети IoT гаджеты, и определяет те из них, которые уязвимы. Их довольно много, поскольку производители, к сожалению, вовсе не стремятся быстро исправлять проблемы с сетевой безопасностью своих гаджетов. При этом Reaper действует не очень быстро. Может быть, потому, что атакующий компонент зловреда не имеет возможностей быстро атаковать своих жертв. А может, потому, что создатели ботнета специально сделали его менее агрессивным, чтобы затруднить возможность обнаружения «кибербезопасниками».

Интереснее всего то, что в отличие от многих других зловредов, формирующих ботнеты, Reaper «погибает» при перезагрузке устройства. То есть реальное число зараженных устройств постоянно меняется. Некоторые IoT-девайсы перезагружаются довольно часто, соответственно, «волатильность» ботнета очень большая.

По мнению компании Radware, каждый день червь Reaper заражает от 200 до 500 различных устройств. На то, чтобы заразить гаджет, у червя уходит от получаса до полутора часов. Эта же компания в прошлом году наблюдала за распространением Mirai. Он поражал одно устройство всего за две минуты. Эксперты по сетевой безопасности говорят, что, судя по числу уязвимостей IoT-систем, используемых червем, лишь около 350 тысяч устройств по всему миру доступно для заражения. Это лишь предположение, которое контрастирует с оценками других компаний, но оно заслуживает право на жизнь.

Зачем это все?

Еще один момент это то, что намерения создателей Reaper неясно. Главное что стоит помнить — пока что никаких попыток осуществления DDoS-атаки не было. Зачем этот ботнет вообще создан, неизвестно.

Плюс ко всему, управляющие сервера ботнета используют статические имена и IP-адреса. А это делает задачу блокирования таких серверов легкой. Другие ботнеты гораздо более опасны в этом плане. Например, Hajime гораздо сложнее поразить или обезвредить. Он использует одновременно несколько BitTorrent-адресов для того, чтобы изменять хэш или «цифровой отпечаток», что и происходит буквально каждый день.

Не так давно были созданы черви, «паразитирующие» на уже зараженных устройствах. Некоторые из таких червей атакуют «жильца» системы и ликвидируют его. Как действует система? Пока до конца неясно. Тем не менее, стало понятно, что, если сформированный ботнет все же будет сформирован, бороться с ним будет гораздо легче, чем с другими программными комплексами такого рода.

Кто знает, может все эти кажущиеся «ляпы» лишь стремление создателей зловреда сделать свое детище в глазах специалистов менее опасным, чем были предшественники. В течение одного дня все может измениться — создатели ботнета дадут команду и тогда мы увидим превращение этой системы в нечто гораздо более опасное, чем она представляет собой сейчас.

Как уже сообщалось, существует вероятность того, что Reaper создан вовсе не для проведения DDoS-атак. Его могли спроектировать для других нужд. Возможностей очень много, от майнинга криптовалют (хотя особо много на IoT системах не намайнишь) до создания распределенной вычислительной сети иного типа. Майнингом бит��оинов занимался, например, вариант трояна ELF Linux/Mirai с добавленным криптовалютным блоком. Количество монет, которые может намайнить одно IoT-устройство, смехотворно, речь идет о миллионных частях единицы криптовалюты. Но если в ботнет объединены миллионы устройств, то немного заработать все же получится.

Кстати, ранее говорилось о том, что ботнет сканирует сеть на наличие устройств, подверженных следующим уязвимостям:

• D-Link
• Goahead
• JAWS
• Netgear
• Vacron NVR
• Netgear
• Linksys
• D-Link
• AVTECH

После обновления Reaper к этому списку добавилась десятая уязвимость, которой подвержены устройства D-Link DIR-645. Кроме того, зловред может в скором времени добавить эксплоит для уязвимости CVE-2017-8225. Этой уязвимости подвержены более сотни тысяч IoT устройств, в большинстве своем это камеры с программным модулем WIFICAM.

Представители компании F5 считают, что если разработчики ботнета добавят еще несколько уязвимостей, то зловред сможет инфицировать не десятки тысяч, а миллионы устройств — более 3,5 миллионов. Преимуществом нового ботнета является то, что у него есть механизм обновления, в отличие от Mirai. То есть разработчики могут добавлять практически любые функции по своему усмотрению, в любой момент.

Хуже всего то, что разработчики используют язык программирования Lua, который позволяет использовать Reaper не только для DDoS, а для гораздо более широкого круга задач.

Есть также возможность, что не Reaper начнет инфицировать миллионы устройств, а какой-то другой ботнет, создатели которого возьмут за основу эксплоиты, которые заложены в основу Reaper. Как бы там ни было, угроза активации ботнета сейчас очень высокая, и никто не может предсказать, что будет делать Reaper после «пробуждения».