Современный мир все больше зависит от интернет-соединения и различных устройств Интернета вещей (IoT), что одновременно повышает нашу уязвимость перед кибератаками. Среди последних и особенно опасных угроз выделяется ботнет RondoDox, который целенаправленно использует критические уязвимости в популярных устройствах, таких как TBK цифровые видеорегистраторы и роутеры Four-Faith. Эта угроза не только демонстрирует зрелость современных вредоносных программ, но и подчеркивает необходимость своевременного обновления программного обеспечения и усиления кибербезопасности в критически важных инфраструктурах.RondoDox был впервые обнаружен в сентябре 2024 года, когда исследователи безопасности выявили ELF-бинарный файл, предназначенный для заражения устройств с Linux-операционными системами, работающими на архитектурах ARM и MIPS. Позже ботнет стал распространяться с помощью универсальных скриптов, которые могут заражать широкий спектр устройств на различных архитектурах, включая Intel 80386, PowerPC и x86-64.
Такая мультиархитектурная способность делает RondoDox крайне универсальным и масштабируемым злом.Особое внимание стоит уделить уязвимостям, которые используются для компрометации устройств. CVE-2024-3721 – это уязвимость средней степени тяжести, которая позволяет злоумышленникам выполнять произвольные команды на TBK DVR моделей DVR-4104 и DVR-4216. Аналогично, уязвимость CVE-2024-12856 позволяет выполнять операционные системные команды на роутерах Four-Faith F3x24 и F3x36. Эти устройства часто внедряются в важные среды — от розничных магазинов до складских помещений и небольших офисов, где они могут оставаться без внимания долгие годы.
Такая ситуация создает идеальные условия для незаметного внедрения вредоносного ПО и дальнейшего использования устройств в качестве зомби-нод для масштабных атак.RondoDox не просто захватывает устройства: злоумышленники используют зараженные устройства как скрытые прокси-серверы, что затрудняет отслеживание их команд и управления ботнетом. Данная функциональность позволяет организовать многоуровневые мошеннические схемы и проводить усложнённые DDoS-атаки, которые одновременно сопровождаются финансовыми махинациями. Инновационные приемы маскировки включают эмуляцию трафика популярных игровых платформ и VPN-сервисов, таких как Valve, Minecraft, Roblox, OpenVPN и WireGuard. Это позволяет трафику вредоносного кода сливаться с легитимным потоком данных, значительно осложняя задачи системы обнаружения вторжений и администраторов безопасности.
Функционал RondoDox включает загрузку собственных бинарных файлов с внешнего сервера по адресу 83.150.218[.]93 и их исполнение на заражённых устройствах. Механизмы защиты предусматривают игнорирование сигналов процесса, которые обычно используются для его остановки, а также очистку истории команд для сокрытия следов активности.
Также вредоносное ПО отслеживает запущенные процессы и завершает работу любых обнаруженных системных и сетевых анализаторов, таких как Wireshark и gdb, или других вредоносных программ — например, криптомайнеров или конкурирующих ботнетов. Это помогает поддерживать устойчивость и скрытность на протяжении долгого времени.Кроме того, RondoDox изменяет названия некоторых критически важных системных утилит, таких как iptables, passwd, shutdown и reboot, присваивая им случайные символьные имена. Такая тактика усложняет работу специалистов, пытающихся восстановить систему или обнаружить и удалить вредоносные компоненты. В комбинации с использованием новых способов обеспечения постоянства загрузки, ботнет способен сохранять контроль даже после перезагрузок зараженных устройств, что делает борьбу с ним особенно сложной.
Данный ботнет относится к новой волне Linux-ориентированных зловредов, среди которых можно выделить также RustoBot и Mozi. Все они пользуются слабой кибергигиеной пользователей IoT-устройств и плохой защищённостью маршрутизаторов. Использование таких средств, как DoH (DNS over HTTPS) для разрешения команд управления, XOR-шифрование полезных нагрузок для обхода систем сигнатурного контроля, и мультиархитектурные скрипты-установщики делают RondoDox сложной целью для традиционных средств обеспечения безопасности.Крайне тревожным является тот факт, что уязвимости, используя которые распространяется RondoDox, активно эксплуатировались и ранее для различных вариаций ботнетов Mirai, известных своими масштабными DDoS-атаками и разрушительными последствиями для инфраструктуры. Это свидетельствует о том, что производители оборудования и администраторы продолжают сталкиваться с проблемой непрерывного обновления и патчинга устройств, особенно в малых и средних предприятиях.
Учитывая высокую степень риска, специалисты по кибербезопасности настоятельно рекомендуют провести аудит и обновление прошивок TBK DVR и Four-Faith роутеров, закрыть ненужные открытые порты и ограничить удалённый доступ к данным устройствам. Важным шагом является мониторинг сетевого трафика на наличие аномалий и использование современных средств обнаружения вторжений, которые способны выявлять замаскированный вредоносный трафик, эмулирующий игровые или VPN-протоколы.RondoDox — образец современного вредоносного ПО, которое сочетает в себе мощные техники маскировки и устойчивости, создавая дополнительные сложности в борьбе с ботнетами. Его развитие демонстрирует, насколько важны систематические меры по защите IoT устройств и сетевой инфраструктуры. В будущем можно ожидать появления еще более изощренных атак и использования новых уязвимостей, что требует от организаций и конечных пользователей внимательности и проактивного подхода к безопасности.
Заключая обзор, следует подчеркнуть, что эффективная защита от подобных угроз обеспечивается не только техническими средствами, но и образовательными инициативами, направленными на повышение осведомленности всех участников цифровой экосистемы. Предотвращение компрометации устройств и своевременное реагирование на инциденты являются залогом устойчивости и безопасности современного интернет-пространства. Только комплексный подход поможет снизить риски и минимизировать потенциал разрушительного воздействия ботнета RondoDox и подобных ему угроз.
