Он говорит: “Я — VPN”, “Я — Roblox”, “Я — Discord”. А сам превращает ваш роутер в оружие для DDoS
NewsMakerДавно не обновляли свои устройства? Теперь они — часть армейского ботнета RondoDox.
Исследователи предупреждают о новой вредоносной кампании , в рамках которой злоумышленники активно эксплуатируют уязвимости в цифровых видеорегистраторах TBK и маршрутизаторах Four-Faith. Цель — включение уязвимых устройств в состав новой ботнет-сети под названием RondoDox.
Вектор атаки основан на двух известных проблемах: CVE-2024-3721 — командной инъекции в моделях видеорегистраторов TBK DVR-4104 и DVR-4216, и CVE-2024-12856 — возможности удалённого выполнения команд в маршрутизаторах Four-Faith серий F3x24 и F3x36. Эти устройства широко используются в розничной торговле, логистике и малом бизнесе, часто не получают обновлений и годами остаются без должного мониторинга. Во многих случаях они доступны из интернета, работают на устаревших прошивках и открытых портах — всё это делает их идеальной мишенью.
По данным Fortinet, указанные уязвимости уже активно используются для доставки модификаций ботнетов семейства Mirai . Но RondoDox представляет собой более продвинутую угрозу с нестандартной архитектурой и функционалом.
Впервые вредонос был замечен в сентябре 2024 года: специалисты FortiGuard Labs зафиксировали исполняемые Linux-файлы (ELF) с компонентами RondoDox. Программа маскировала своё присутствие, имитируя трафик популярных онлайн-сервисов, что затрудняло обнаружение.
Однако главная опасность заключается не в факте заражения, а в способе последующего использования захваченных устройств. В отличие от классических ботнетов, здесь заражённые узлы превращаются в прокси-серверы, участвующие в передаче управляющего трафика, реализации многоступенчатых мошеннических схем и усилении DDoS-атак , направленных на дестабилизацию критических систем.
Изначально вредонос был ориентирован на Linux-системы с архитектурами ARM и MIPS. Позднее был разработан адаптивный загрузчик, охватывающий более широкий спектр платформ, включая Intel 80386, MC68000, PowerPC, SuperH, ARCompact, x86-64 и AArch64.
При запуске скрипт отключает системные сигналы SIGINT, SIGQUIT и SIGTERM, затем ищет доступные для записи каталоги — /dev, /dev/shm, /mnt, /var/tmp и другие. Найдя подходящий путь, он загружает основной модуль, запускает его и удаляет журнал команд, чтобы замести следы.
Вредонос закрепляется в системе, обеспечивая автозапуск при перезагрузке. Для маскировки он завершает процессы утилит вроде wget, curl, Wireshark, gdb, а также устраняет конкурирующие вредоносы: криптомайнеры, бэкдоры и другие.
Также наблюдается подмена системных исполняемых файлов: вредонос генерирует случайные имена и размещает модифицированные версии программ в каталогах /usr/sbin, /usr/bin и др. Например: iptables → jsuJpf, passwd → ahwdze, reboot → gaajct.
После завершения установки RondoDox связывается с C2-сервером по адресу 83.150.218[.]93 и получает команды для проведения DDoS-атак по протоколам HTTP, UDP и TCP.
Для обхода фильтров ботнет имитирует сетевую активность популярных игровых платформ (Valve, Minecraft, GTA, Fortnite, Roblox, DayZ), мессенджеров (Discord), VPN-протоколов (OpenVPN, WireGuard, RakNet), а также сервисов реального времени (STUN, DTLS, RTC). Это позволяет ему маскироваться под легитимный трафик и избегать обнаружения.
Как отмечает Винсент Ли из Fortinet, RondoDox использует собственные библиотеки, антивиртуализационные приёмы, XOR-шифрование и продуманную инфраструктуру управления, что делает его особенно устойчивым и опасным.
Этот случай наглядно показывает, почему критически важно своевременно обновлять прошивки сетевых устройств и регулярно проводить аудит инфраструктуры IoT . Современные угрозы требуют комплексного подхода к защите на всех уровнях — от аппаратного до сетевого.
Исследователи предупреждают о новой вредоносной кампании , в рамках которой злоумышленники активно эксплуатируют уязвимости в цифровых видеорегистраторах TBK и маршрутизаторах Four-Faith. Цель — включение уязвимых устройств в состав новой ботнет-сети под названием RondoDox.
Вектор атаки основан на двух известных проблемах: CVE-2024-3721 — командной инъекции в моделях видеорегистраторов TBK DVR-4104 и DVR-4216, и CVE-2024-12856 — возможности удалённого выполнения команд в маршрутизаторах Four-Faith серий F3x24 и F3x36. Эти устройства широко используются в розничной торговле, логистике и малом бизнесе, часто не получают обновлений и годами остаются без должного мониторинга. Во многих случаях они доступны из интернета, работают на устаревших прошивках и открытых портах — всё это делает их идеальной мишенью.
По данным Fortinet, указанные уязвимости уже активно используются для доставки модификаций ботнетов семейства Mirai . Но RondoDox представляет собой более продвинутую угрозу с нестандартной архитектурой и функционалом.
Впервые вредонос был замечен в сентябре 2024 года: специалисты FortiGuard Labs зафиксировали исполняемые Linux-файлы (ELF) с компонентами RondoDox. Программа маскировала своё присутствие, имитируя трафик популярных онлайн-сервисов, что затрудняло обнаружение.
Однако главная опасность заключается не в факте заражения, а в способе последующего использования захваченных устройств. В отличие от классических ботнетов, здесь заражённые узлы превращаются в прокси-серверы, участвующие в передаче управляющего трафика, реализации многоступенчатых мошеннических схем и усилении DDoS-атак , направленных на дестабилизацию критических систем.
Изначально вредонос был ориентирован на Linux-системы с архитектурами ARM и MIPS. Позднее был разработан адаптивный загрузчик, охватывающий более широкий спектр платформ, включая Intel 80386, MC68000, PowerPC, SuperH, ARCompact, x86-64 и AArch64.
При запуске скрипт отключает системные сигналы SIGINT, SIGQUIT и SIGTERM, затем ищет доступные для записи каталоги — /dev, /dev/shm, /mnt, /var/tmp и другие. Найдя подходящий путь, он загружает основной модуль, запускает его и удаляет журнал команд, чтобы замести следы.
Вредонос закрепляется в системе, обеспечивая автозапуск при перезагрузке. Для маскировки он завершает процессы утилит вроде wget, curl, Wireshark, gdb, а также устраняет конкурирующие вредоносы: криптомайнеры, бэкдоры и другие.
Также наблюдается подмена системных исполняемых файлов: вредонос генерирует случайные имена и размещает модифицированные версии программ в каталогах /usr/sbin, /usr/bin и др. Например: iptables → jsuJpf, passwd → ahwdze, reboot → gaajct.
После завершения установки RondoDox связывается с C2-сервером по адресу 83.150.218[.]93 и получает команды для проведения DDoS-атак по протоколам HTTP, UDP и TCP.
Для обхода фильтров ботнет имитирует сетевую активность популярных игровых платформ (Valve, Minecraft, GTA, Fortnite, Roblox, DayZ), мессенджеров (Discord), VPN-протоколов (OpenVPN, WireGuard, RakNet), а также сервисов реального времени (STUN, DTLS, RTC). Это позволяет ему маскироваться под легитимный трафик и избегать обнаружения.
Как отмечает Винсент Ли из Fortinet, RondoDox использует собственные библиотеки, антивиртуализационные приёмы, XOR-шифрование и продуманную инфраструктуру управления, что делает его особенно устойчивым и опасным.
Этот случай наглядно показывает, почему критически важно своевременно обновлять прошивки сетевых устройств и регулярно проводить аудит инфраструктуры IoT . Современные угрозы требуют комплексного подхода к защите на всех уровнях — от аппаратного до сетевого.