- 27,720
- 46
- 8 Ноя 2022
Домашняя техника годами ждала обновлений, но дождалась совсем другого.
Старые домашние роутеры часто остаются в сети годами после окончания поддержки, и именно такой парк устройств стал основой для нового ботнета AryStinger, который заразил более 4000 устаревших маршрутизаторов D-Link по всему миру.
Специалисты команды XLab компании Qianxin выяснили , что вредонос превращает взломанные устройства в удалённо управляемые узлы. Через них оператор ботнета может сканировать сети, проксировать вредоносный трафик, строить туннели, выполнять команды и готовить дальнейшие атаки. Большую задачу по поиску целей AryStinger дробит на части и распределяет между заражёнными устройствами, поэтому разведка идёт быстрее и менее заметно для каждой отдельной точки.
Ботнет атакует прежде всего модели D-Link DIR-850L и D-Link DIR-818LW, используя старые уязвимости CVE-2013-3307 , CVE-2016-5681 и CVE-2025-11837 . Те же модели ранее попадали под атаки AVrecon , который компания Lumen остановила в 2023 году. По данным телеметрии Qianxin, почти половина заражений пришлась на Южную Корею, ещё около трети на Китай. Следом идут Швеция, Малайзия и Сингапур.
Опасность AryStinger не ограничивается проксированием трафика. Вредонос может менять настройки DNS, перенаправлять пользователя на поддельные или вредоносные ресурсы, а также скрытно наблюдать за входящим и исходящим сетевым трафиком. Для владельца заражённого роутера компрометация может выглядеть как обычные сбои связи или странное поведение сайтов, хотя устройство уже работает на оператора ботнета.
XLab выявила сразу две версии AryStinger. Первая написана на C и в основном нацелена на старые маршрутизаторы. Вторая написана на Go и предназначена для NAS-систем, но пока получила гораздо меньшее распространение. Версия для сетевых хранилищ умеет сканировать IP-адреса и DNS, запускать команды, выполнять полезную нагрузку и изучать внутреннюю сеть с помощью открытых инструментов для тестирования защиты.
Специалисты пока не связывают AryStinger с уже известными хакерскими группировками. Владельцам устаревших маршрутизаторов D-Link рекомендуется заменить устройства на актуальные модели, установить последние доступные обновления прошивки, сменить стандартный пароль администратора и отключить удалённое управление через интернет.
Старые домашние роутеры часто остаются в сети годами после окончания поддержки, и именно такой парк устройств стал основой для нового ботнета AryStinger, который заразил более 4000 устаревших маршрутизаторов D-Link по всему миру.
Специалисты команды XLab компании Qianxin выяснили , что вредонос превращает взломанные устройства в удалённо управляемые узлы. Через них оператор ботнета может сканировать сети, проксировать вредоносный трафик, строить туннели, выполнять команды и готовить дальнейшие атаки. Большую задачу по поиску целей AryStinger дробит на части и распределяет между заражёнными устройствами, поэтому разведка идёт быстрее и менее заметно для каждой отдельной точки.
Ботнет атакует прежде всего модели D-Link DIR-850L и D-Link DIR-818LW, используя старые уязвимости CVE-2013-3307 , CVE-2016-5681 и CVE-2025-11837 . Те же модели ранее попадали под атаки AVrecon , который компания Lumen остановила в 2023 году. По данным телеметрии Qianxin, почти половина заражений пришлась на Южную Корею, ещё около трети на Китай. Следом идут Швеция, Малайзия и Сингапур.
Опасность AryStinger не ограничивается проксированием трафика. Вредонос может менять настройки DNS, перенаправлять пользователя на поддельные или вредоносные ресурсы, а также скрытно наблюдать за входящим и исходящим сетевым трафиком. Для владельца заражённого роутера компрометация может выглядеть как обычные сбои связи или странное поведение сайтов, хотя устройство уже работает на оператора ботнета.
XLab выявила сразу две версии AryStinger. Первая написана на C и в основном нацелена на старые маршрутизаторы. Вторая написана на Go и предназначена для NAS-систем, но пока получила гораздо меньшее распространение. Версия для сетевых хранилищ умеет сканировать IP-адреса и DNS, запускать команды, выполнять полезную нагрузку и изучать внутреннюю сеть с помощью открытых инструментов для тестирования защиты.
Специалисты пока не связывают AryStinger с уже известными хакерскими группировками. Владельцам устаревших маршрутизаторов D-Link рекомендуется заменить устройства на актуальные модели, установить последние доступные обновления прошивки, сменить стандартный пароль администратора и отключить удалённое управление через интернет.
- Источник новости
- www.securitylab.ru
