Check Point: злоумышленники использовали роутеры Huawei для создания нового ботнета

В качестве лазейки использовалась уязвимость нулевого дня в домашних роутерах Huawei HG532

Исследователи Check Point Software Technologies обнаружили уязвимость нулевого дня в домашних роутерах Huawei модели HG532, а также тысячи попыток ее использования для создания ботнета. За атаками стоит любитель под ником Nexus Zeta. Уязвимость была оперативно исправлена специалистами Huawei.

23 ноября сенсоры Check Point засекли подозрительную активность. В результате исследования аналитики обнаружили несколько атак по всему миру, использующих неизвестную уязвимость в устройстве Huawei HG532. Наиболее заметны атаки в США, Италии, Германии и Египте. Цель атакующих — создать новый вариант ботнетаMirai (именно такой ботнет был использован в глобальных атаках на критические инфраструктуры в 2016 году).

Huawei стремится сделать домашние модемы как можно проще, чтобы они легко интегрировались с домашними и корпоративными сетями. В роутерах использован протокол Universal Plug and Play (UPnP) через спецификацию TR-064. Именно эта спецификация позволила хакеру получить доступ к управлению устройством.

Объем трафика, использование уязвимости нулевого дня и множественные атаки сначала навели исследователей на мысль о продвинутой хакерской банде национального масштаба. Однако оказалось, что за попыткой создать новый ботнет стоит одиночка-любитель под ником Nexus Zeta.

Как только атаки были обнаружены и подтверждены, Huawei оперативно выпустил патчи для этой уязвимости и обновил устройства своих пользователей. В свою очередь, команда Check Point сразу же обновила систему предотвращения вторжений (IPS) для защиты своих заказчиков.