Новый вирус PolarEdge атакует роутеры от Cisco, ASUS, QNAP и Synology с конца 2023 года. Он делает их частью ботнета, который контролируют злоумышленники. Вирус использует уязвимость CVE-2023-20118 в роутерах Cisco Small Business серий RV. Это позволяет хакерам выполнять различные действия на устройствах, которые уже не обновляются из-за статуса End-of-Life.
Cisco рекомендует отключить удаленное управление и заблокировать доступ к портам 443 и 60443, но многие устройства остаются уязвимыми. Во время атак хакеры используют уязвимость, чтобы загрузить новый вредоносный код на роутеры. Этот код позволяет им удаленно управлять устройствами.
Вирус запускается через специальный скрипт, который загружается по FTP. Он очищает логи, завершает подозрительные процессы, загружает архив с сервера хакеров и встраивает бинарный файл в систему. Это позволяет вирусу запускаться автоматически при включении устройства.
Ботнет PolarEdge работает так, что зараженные устройства устанавливают связь с сервером злоумышленников, создают дочерние процессы и выполняют команды. Информация об инфицированных устройствах отправляется на сервер, чтобы операторы могли их контролировать.
Помимо роутеров Cisco, вирус атакует также устройства от ASUS, QNAP и Synology. Большинство атак происходит в Тайване. Вирус распространяется через сервер Huawei Cloud, что говорит о хорошей организации атаки.
Ботнет уже заразил более 2000 устройств по всему миру, больше всего в США, Тайване, России, Индии, Бразилии, Австралии и Аргентине. Цели атак пока неизвестны, но есть вероятность использования ботнета для проксирования трафика или DDoS-атак.
Эксперты предупреждают о растущем количестве ботнетов и сложности атак. Поэтому важно регулярно обновлять оборудование, отслеживать подозрительный трафик и использовать надежные методы защиты, включая отключение уязвимых сервисов.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
