Специалисты The Shadowserver Foundation выявили беспрецедентную по масштабам брутфорс-кампанию, в которой участвуют около 2,8 миллиона IP-адресов. Основными мишенями злоумышленников стали корпоративные сетевые устройства ведущих производителей, включая Palo Alto Networks, Ivanti и SonicWall.
Географический охват и масштаб атаки
Атаки, начавшиеся в прошлом месяце, демонстрируют четкую географическую структуру. Лидирующую позицию занимает Бразилия с 1,1 миллионом вовлеченных IP-адресов. За ней следуют Турция, Россия, Аргентина, Марокко и Мексика. Эксперты отмечают, что атакующие адреса распределены по множеству сетей и автономных систем, что указывает на вероятное использование ботнета или сети резидентных прокси.
Технические особенности кампании
В качестве источников атак идентифицированы преимущественно маршрутизаторы известных производителей: MikroTik, Huawei, Cisco, Boa и ZTE. Также зафиксировано участие различных IoT-устройств, которые традиционно являются легкой добычей для операторов ботнетов из-за слабой защищенности.
Стратегические цели злоумышленников
Основной фокус атакующих направлен на критически важную сетевую инфраструктуру: межсетевые экраны, VPN-шлюзы и другие устройства, обеспечивающие удаленный доступ. По оценке специалистов, конечная цель злоумышленников – создание сети «чистых» прокси-серверов на базе скомпрометированных корпоративных устройств. Такой подход позволяет маскировать вредоносный трафик под легитимный, используя репутацию известных организаций.
Текущая кампания имеет схожие черты с масштабной атакой, зафиксированной Cisco в прошлом году, которая была направлена на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti. Это может свидетельствовать о формировании устойчивого тренда в тактике киберпреступников, нацеленного на компрометацию корпоративной сетевой инфраструктуры. Организациям настоятельно рекомендуется усилить мониторинг попыток несанкционированного доступа и обеспечить надежную защиту сетевых устройств, доступных из интернета.
