Бесплатно Экспресс-аудит сайта:

02.12.2021

Ботнет EwDoor заразил 5,7 тыс. VoIP-серверов в сети AT&T

Американская телекоммуникационная компания AT&T "приняла меры по устранению" ботнета, состоящего более чем из 5,7 тыс. VoIP-серверов в ее сети.

Как сообщили представители AT&T изданию The Record, все зараженные устройства - это EdgeMarc Enterprise Session Border Controllers. VoIP-серверы такого типа предназначены для балансировки и маршрутизации трафика интернет-телефонии от более мелких корпоративных пользователей до операторов связи.

По данным подразделения Netlab китайского техногиганта Qihoo 360, злоумышленники взламывали необновленные серверы EdgeMarc через старую уязвимость CVE-2017-6079 и устанавливали модульное вредоносное ПО EwDoor. Все взломанные серверы находятся на территории США.

Китайская ИБ-компания сообщила , что отслеживает ботнет EwDoor и его атаки с конца октября 2021 года, и с того времени вышло как минимум три версии вредоноса.

Как показал анализ вредоносной программы, она обладает функцией бэкдора и позволяет осуществлять DDoS-атаки. По мнению специалистов Netlab, целью хакеров является похищение с уязвимых серверов конфиденциальной информации, такой как журналы VoIP-звонков. Однако в AT&T заявляют, что никаких подтверждений заявлению Netlab не обнаружено.

"У нас нет никаких свидетельств того, что был получен доступ к данным пользователей", - сообщили в компании.

Как пояснили специалисты Netlab, цифра 5,7 тыс. была получена в короткий период видимости операций ботнета 8 ноября.

В настоящее время к интернету подключено порядка 100 тыс. устройств, использующих тот же SSL-сертификат, что и VoIP-серверы EdgeMarc, однако неизвестно, сколько из них уязвимы к CVE-2017-6079.