Ботнет RondoDox атакует 30 производителей, используя уязвимости для DDoS-атак

По данным исследовательской группы Zero Day Initiative (ZDI), ботнет RondoDox использует тактику массовой атаки на уязвимости, поражая инфраструктуру 30 производителей. Кампания, начавшаяся 22 сентября, охватывает маршрутизаторы, DVR, системы видеонаблюдения и веб-серверы. Атакующие эксплуатируют 56 уязвимостей, включая CVE-2024-3721 (TBK DVR) и CVE-2024-12856 (Four-Faith роутеры), для установки варианта Mirai. Это позволяет контролировать устройства и организовывать DDoS-атаки.

Ключевые особенности атаки

• Метод «эксплоит-шотгун»: атакующие одновременно проверяют десятки уязвимостей, не фокусируясь на конкретных целях.
• Масштаб инфраструктуры: уязвимы маршрутизаторы Cisco, D-Link, Linksys, Netgear, веб-серверы Apache, IP-камеры Brickcom и системы видеонаблюдения AVTECH.
• Многоархитектурные нагрузки: скрипты-загрузчики RondoDox поддерживают заражение Linux-устройств, включая IoT-устройства и промышленные роутеры.

Распространение и последствия

Ботнет активно использует модель «загрузчик как сервис» (loader-as-a-service), пакуя RondoDox с Mirai и его вариантом Morte. По данным CloudSEK, число атак выросло на 230% с июля по август. Уязвимые устройства остаются под угрозой утечки данных, длительного компрометирования сетей и операционных сбоев.

Экспертные оценки

Исследователь ZDI Питер Гирнус отметил, что атака могла быть «разрушительной и быстрой» (smash-and-grab), так как после 24 сентября новых событий не зафиксировано. FortiGuard Labs связывает CVE-2024-3721 и CVE-2024-12856 с RondoDox, но точные мотивы атакующих остаются неизвестными.

Интересно: Каковы риски для организаций, использующих уязвимые устройства, и какие меры защиты наиболее эффективны в условиях широкомасштабных атак?

i

Создано специально для ASECTOR

Концептуальное изображение

Масштабная кибератака RondoDox: за кем стоит и что скрывается под цифрами

Когда уязвимости становятся бизнес-моделью

Атака ботнета RondoDox выходит за рамки технического инцидента. Ее масштаб и методология указывают на системное изменение подходов к киберпреступности. Ключевой момент: злоумышленники перешли от избирательного захвата к массовому использованию уязвимостей, что делает их действия похожими на промышленный процесс.

Метод «эксплоит-шотгун» — это не случайность. Он позволяет атакующим одновременно проверять десятки уязвимостей, минимизируя риски и максимизируя охват. Это похоже на автоматизированный сбор урожая: не важно, какой именно баг будет использован, главное — захватить как можно больше устройств. Для организаций это означает, что даже незначительная уязвимость в старом маршрутизаторе может стать входом для критического компрометирования всей сети.

Многоархитектурные нагрузки указывают на гибкость ботнета. Поддержка Linux-устройств и IoT-оборудования говорит о том, что атакующие ориентируются на долгосрочное управление инфраструктурой. Это не одноразовая DDoS-атака, а создание «цифровой территории» для последующего использования — например, для кражи данных или организации атак с низким следом.

К чему это ведет? Системы видеонаблюдения и маршрутизаторы становятся не просто уязвимыми, а стратегически значимыми. Их захват позволяет злоумышленникам создавать «второй слой» инфраструктуры, который может использоваться для маскировки более сложных атак.

Кто выигрывает, а кто проигрывает в скрытых цепочках

Победители:

• Операторы «loader-as-a-service». Модель, в которой RondoDox распространяется как SaaS, указывает на коммерциализацию киберпреступности. Это снижает барьер входа для новых злоумышленников, что может привести к росту подобных атак.
• Компании, занимающиеся киберстрахованием. Увеличение масштаба атак создает спрос на страховые продукты, но при этом повышает риски для самих страховщиков.

Проигравшие:

• Производители устройств с устаревшими системами обновления. Уязвимости в маршрутизаторах Cisco, D-Link и других брендов показывают, что даже крупные игроки не всегда обеспечивают своевременную защиту. Это подрывает доверие к их продуктам.
• Организации с низкой кибергигиеной. Если патчи не применяются, уязвимые устройства становятся мостом для атак на более защищенные системы.

Парадокс: атака остановилась после 24 сентября, но это не означает, что ботнет перестал быть опасным. Возможно, злоумышленники перешли к скрытому этапу — например, к захвату данных или подготовке следующей волны.

Важный нюанс: Увеличение атак на 230% за два месяца — это не только рост активности. Это сигнал о том, что киберпреступность становится более организованной и технологичной, что требует системного подхода к защите.

Российский контекст: что делать с уязвимыми устройствами

В России значительная часть инфраструктуры зависит от IoT-устройств и систем видеонаблюдения. Атака RondoDox демонстрирует, что даже «старые» уязвимости могут стать катализатором крупных инцидентов.

Практические шаги для бизнеса:

1. Провести аудит всех устройств, включая те, которые считаются незначимыми (например, DVR-регистраторы).
2. Настроить автоматическое применение патчей для устройств с известными уязвимостями.
3. Использовать сегментацию сетей, чтобы изолировать уязвимые системы от критически важных.

В условиях массовых атак важно не только защищать «точку входа», но и предполагать, что любое устройство может стать беззащитным. Это требует перехода от реактивной к предиктивной кибербезопасности.

Важный нюанс: Киберпреступность перестает быть «случайным» риском. Она становится частью бизнес-стратегии, где защита инфраструктуры — это не только техническая задача, а вопрос выживания компании.