Дослідники Trend Micro зафіксували новий масштабний ботнет RondoDox, який цілеспрямовано атакує інтернет-доступні IoT та мережеві пристрої. За їхніми даними, оператор використовує щонайменше 56 вразливостей у продуктах понад 30 виробників — від DVR/NVR та IP-камер до SOHO‑маршрутизаторів і веб-серверів. Такий портфель дає змогу швидко знаходити нові точки входу в слабо оновлювані екосистеми «розумного» дому та малого офісу.
Цілі та масштаб атак на IoT і мережеві пристрої
Інфраструктура RondoDox націлена на публічно доступні пристрої: відеореєстратори, системи відеоспостереження, домашні/офісні роутери та веб-сервери, що їх обслуговують. Такий вибір забезпечує масштабованість і постійну доступність нових жертв, оскільки ці категорії часто працюють із застарілими прошивками або без регулярних оновлень після первинного розгортання.
«Shotgun of exploits»: паралельна експлуатація та вплив Pwn2Own
Ключова тактика RondoDox — масована паралельна експлуатація («shotgun of exploits»): використання одразу багатьох експлойтів для підвищення конверсії заражень. Це створює «шум» у мережі, але компенсується широтою площі атаки. Важливо, що оператор швидко інтегрує прийоми з Pwn2Own: зокрема, застосовується CVE‑2023‑1389 у TP‑Link Archer AX21, вперше продемонстрована на Pwn2Own Toronto 2022 та згодом помічена в реальних кампаніях.
n‑day і вразливості без CVE: невидимі пріоритети
Окрім класичних n‑day, Trend Micro зафіксувала експлуатацію 18 вразливостей типу command injection без призначених CVE. Під ударом — NAS‑пристрої D‑Link, DVR від TVT та LILIN, роутери Fiberhome, ASMAX і Linksys, камери Brickcom та інші моделі. Відсутність ідентифікаторів ускладнює трекінг, оцінку ризиків і планування патчів для власників і провайдерів послуг.
Чому IoT лишається вразливою мішенню
Системні чинники ризику незмінні: EoL/EoS‑обладнання не отримує виправлень, а актуальні моделі часто роками працюють без оновлень. Поєднання публічної доступності сервісів, дефолтних облікових записів і низької культури патч‑менеджменту формує сталий пул мішеней — як свого часу показали кампанії на кшталт Mirai, що призводили до масштабних перебоїв у мережевих сервісах.
DDoS‑можливості та маскування трафіку
За даними FortiGuard Labs, RondoDox підтримує DDoS‑атаки по HTTP, UDP і TCP. Для ухилення від виявлення ботнет імітує трафік популярних ігрових і комунікаційних сервісів: Valve, Minecraft, Dark and Darker, Roblox, DayZ, Fortnite, GTA, а також Discord, OpenVPN, WireGuard, RakNet. Такий підхід знижує ефективність сигнатурних фільтрів і підвищує живучість інфраструктури бота.
Практичні кроки захисту для компаній і домогосподарств
1) Оновлення та життєвий цикл. Встановлюйте останні прошивки; пристрої з завершеною підтримкою замінюйте. Запровадьте інвентаризацію активів і політику EoL/EoS, щоб уникати «забутих» вузлів.
2) Сегментація мережі. Ізолюйте IoT та гостьові сегменти від критичних систем (VLAN/SDN). Обмежуйте вихідний трафік IoT правилами МЕ — дозвольте лише необхідні порти/протоколи.
3) Доступ і паролі. Приберіть дефолтні облікові записи, застосовуйте довгі унікальні паролі та менеджери паролів. Вмикайте MFA за наявності; вимикайте адміністрування з Інтернету.
4) Зменшення площі атаки. Вимикайте UPnP, закривайте непотрібні сервіси, екпонуйте назовні тільки потрібні інтерфейси. Для адмін‑доступу застосовуйте allowlist і гео/IP‑обмеження.
5) Моніторинг і реагування. Впроваджуйте IDS/IPS, корелюйте журнали, відстежуйте аномалії трафіку та періодично скануйте на відомі експлойти. Орієнтуйтеся на поведінкові та поточні ознаки, а не лише на сигнатури.
RondoDox демонструє зрілий підхід до атак на IoT: швидку «зброїзацію» ідей після Pwn2Own, агресивну мультиексплуатацію й продумане маскування трафіку. Щоб не стати черговим вузлом у DDoS‑мережі, перегляньте інвентар
