Специалист компании NewSky Security и известный эксперт в области IoT-безопасности Анкит Анубхав (Ankit Anubhav) рассказал о забавном проколе неизвестных хакеров. Он обнаружил, что операторы двух IoT-ботнетов используют учетные данные root/root для доступа к своим управляющим серверам.

In an irony of epic proportions, we observed that an IoT #botnet variant, #Owari, which relies on default/weak credentials to hack IoT devices was itself using default credentials in its cnc server, allowing read/write access to the hacker's database.https://t.co/GYcjQFGI8a pic.twitter.com/DyQL9UmGcX

— Ankit Anubhav (@ankit_anubhav) June 4, 2018

Исследователь пишет, что операторы некоторых из версий ботнета Owari, который построен на базе известного вредоноса Mirai и атакует IoT-устройства с учетными данными по умолчанию, ничему не научились у своих жертв. К примеру, владельцы одного ботнета разместили свой управляющий сервер по адресу 80[.]211[.]232[.]43. Там специалисты без труда обнаружили открытый порт 3600, по умолчанию используемый MySQL БД. Как оказалось, в качестве логина и пароля для БД атакующие выбрали банальное сочетание root/root.

В результате Анубхав и его коллеги смогли изучить «изнанку» ботнета. Они получили доступ к информации о зараженных устройствах, авторах ботнета и даже их клиентах, которые арендовали скомпрометированные устройства для проведения DDoS-атак. Информация о самих атаках, их длительности, целях и количестве доступных ботов, так же стала известная исследователям.

Эксперт рассказывает, что это далеко не уникальный случай. Так, еще один командный сервер Owari-ботнета, расположенный по адресу 80[.]211[.]45[.]89, точно так же использовал MySQL и комбинацию root/root в качестве учетных данных.

В настоящее время оба вышеупомянутых управляющих сервера уже ушли в оффлайн, однако Анубхав пишет, что это обычная практика. Такие серверы в целом не «живут» долго, так как их адреса довольно быстро попадают во всевозможные черные списки, и операторы малвари регулярно меняют IP.

Вероятнее всего, обнаруженные исследователем ботнеты не просуществуют долго. Дело в том, что любой grayhat или whitehat может «положить» такой ботнет, получив доступ к C&C-серверу, а конкурирующие blackhat’ы могут и вовсе воспользоваться возможностью и присвоить чужих ботов себе.