Botnet EwDoor koncentruje się na atakach DDoS

Botnet EwDoor to stosunkowo nowy projekt, który wydaje się być aktywny w Stanach Zjednoczonych. Chociaż wydaje się, że projekt jest online zaledwie od kilku miesięcy, jego twórcy wykorzystują bardzo starą lukę. Kwestia ta dotyczy urządzeń brzegowych sieci korporacyjnych AT&T i jest upubliczniona od ponad czterech lat. Oczywiście najnowsze łatki do oprogramowania usuwają tę lukę — ale na wielu urządzeniach działa przestarzałe i podatne oprogramowanie układowe.

Dokładny zakres urządzeń, na które atakują operatorzy botnetu EwDoor, to urządzenia należące do EdgeMarc Enterprise Session Border Controller (ESBC). Niestety, wydaje się, że aktywność tego botnetu nabiera tempa – w ciągu zaledwie kilku godzin zidentyfikowano ponad 6000 nowo zhakowanych urządzeń.

Botnet EwDoor oferuje funkcje backdoora i DDoS

Wszystkie zainfekowane urządzenia mogą odbierać polecenia z serwera dowodzenia i kontroli atakującego. Implant botnetu EwDoor ma podstawowe możliwości backdoora, które umożliwiają atakującym zdalne wykonywanie poleceń, zarządzanie plikami i nie tylko. Wydaje się, że głównym celem botnetu jest przeprowadzanie ataków typu „rozproszona odmowa usługi” (DDoS) na wybrane witryny i usługi online.

Ze względu na młody wiek EwDoor Botnet nadal nie można stwierdzić, czy jego operatorzy mają większe plany dotyczące swojej kampanii. Jest to jeden z wielu botnetów, które wykorzystują przestarzałe luki w zabezpieczeniach, atakując urządzenia ze starszym oprogramowaniem. Kampanie takie jak EwDoor Botnet są ważnym przypomnieniem, dlaczego wszystkie urządzenia i sprzęt, które mają dostęp do Internetu, muszą być odpowiednio zabezpieczone – przy użyciu aktualnego oprogramowania układowego i bezpiecznych danych logowania.