Нещодавно було зафіксовано активність нового DDoS-ботнету під назвою Masjesu. Його основна мішень – пристрої Інтернету речей (IoT). Відмінною рисою Masjesu є його стратегія: замість швидкого та масового зараження, ботнет фокусується на стійкості та тривалому перебуванні у вже скомпрометованих системах. Це дозволяє йому ефективно уникати виявлення та підтримувати свою інфраструктуру.
Masjesu відрізняється своїми ухильними тактиками. Він активно уникає зараження IP-адрес, що знаходяться у чорних списках, а також не атакує об'єкти критичної інфраструктури. Такий підхід дозволяє ботнету залишатися непоміченим для традиційних систем моніторингу та захисту, які зазвичай реагують на масові інфекції або атаки на відомі цілі. Основна мета – створення мережі скомпрометованих IoT-пристроїв для подальшого використання у розподілених атаках типу "відмова в обслуговуванні" (DDoS), що може призвести до значних збоїв у роботі цільових ресурсів.
Загроза від Masjesu стосується будь-яких організацій та приватних осіб, які використовують IoT-пристрої з недостатнім рівнем захисту. Це можуть бути:
- Смарт-пристрої для дому та офісу (камери, роутери, освітлення).
- Промислові IoT-системи, які не класифікуються як критична інфраструктура.
- Будь-які пристрої, підключені до інтернету, що мають вразливості або використовують стандартні/слабкі облікові дані.
Навіть якщо Masjesu уникає прямої атаки на критичну інфраструктуру, скомпрометовані пристрої можуть стати частиною більшої бот-мережі, яка може бути використана для атак на інші цілі, в тому числі на українські ресурси, перетворюючи легітимні пристрої на інструменти для кіберзлочинності.
Для мінімізації ризиків зараження та використання ваших IoT-пристроїв у ботнетах, рекомендується дотримуватися наступних заходів безпеки:
- Зміна стандартних паролів: Використовуйте складні, унікальні паролі для всіх IoT-пристроїв одразу після їх встановлення.
- Регулярні оновлення прошивки: Встановлюйте останні оновлення безпеки від виробників, як тільки вони стають доступними.
- Сегментація мережі: Ізолюйте IoT-пристрої в окремій мережі або VLAN, щоб обмежити їхній доступ до критичних корпоративних ресурсів.
- Моніторинг трафіку: Відстежуйте незвичайну активність або вихідний трафік від IoT-пристроїв, що може свідчити про компрометацію.
- Вимкнення непотрібних служб: Деактивуйте всі функції та порти на IoT-пристроях, які не використовуються.
- Використання брандмауерів: Налаштуйте правила брандмауера для обмеження зв'язку IoT-пристроїв лише з необхідними зовнішніми та внутрішніми ресурсами.