Дослідники з компанії Aqua виявили нову критичну кіберзагрозу – ботнет Matrix, який демонструє безпрецедентну активність у компрометації пристроїв інтернету речей (IoT). За результатами розслідування, за створенням цієї масштабної шкідливої мережі ймовірно стоїть російськомовний зловмисник, який використовує загальнодоступні інструменти для формування потужної мережі скомпрометованих пристроїв.
Масштаб та географія кібератак
Основний удар Matrix спрямований на організації Азіатсько-Тихоокеанського регіону, з особливим фокусом на Китай та Японію. Значної атакуючої активності зазнали також компанії в Аргентині, Австралії, Бразилії, Єгипті, Індії та США. Особливу увагу зловмисники приділяють провідним хмарним сервісам, включаючи інфраструктуру Amazon Web Services, Microsoft Azure та Google Cloud.
Технічний арсенал та методи проникнення
Matrix використовує комплексний підхід до компрометації цільових систем, що включає:
– Експлуатацію відомих вразливостей в IoT-пристроях
– Брутфорс-атаки на облікові дані через протоколи Telnet та SSH
– Атаки на некоректно налаштовані Hadoop-сервери
– Зламування IP-камер, відеореєстраторів та мережевого обладнання
Шкідливе програмне забезпечення та інструментарій
Після успішного проникнення зловмисники встановлюють різноманітне шкідливе ПЗ, включаючи модифіковані версії відомих ботнетів: Mirai, PYbot, pynet, DiscordGo та Homo Network. Додатково використовуються спеціалізовані інструменти для генерації HTTP/HTTPS-флуду та деактивації захисних механізмів Windows Defender.
Монетизація та поширення загрози
Оператори ботнету реалізують модель “DDoS-as-a-Service” через Telegram-бота, де клієнти можуть придбати різні пакети послуг для проведення DDoS-атак з оплатою у криптовалюті. Така бізнес-модель свідчить про чітку комерційну спрямованість кампанії.
Для захисту від загроз типу Matrix критично важливо імплементувати комплексний підхід до кібербезпеки: регулярно оновлювати програмне забезпечення, використовувати надійні паролі та двофакторну автентифікацію, проводити аудит налаштувань мережевих пристроїв та хмарних сервісів. Особливу увагу слід приділити моніторингу аномальної активності та швидкому реагуванню на потенційні інциденти безпеки.