Сетевые устройства хранения данных (NAS) под управлением операционной системы Feiniu (fnOS) стали целью масштабной кибератаки, в результате которой сотни устройств были заражены вредоносным ПО и превращены в часть ботнета для проведения распределенных атак типа «отказ в обслуживании» (DDoS). Об этом свидетельствуют результаты анализа специалистов по кибербезопасности.
Описание
Атака была осуществлена с использованием ранее неизвестной уязвимости (zero-day) в системе fnOS. Злоумышленники получили возможность удаленно выполнять код на устройствах, которые имели открытые для интернета службы. Вредоносная программа, идентифицированная как часть семейства Netdragon, была впервые обнаружена в октябре 2024 года. Ее основная функция - организация DDoS-атак и выполнение произвольных команд, что позволяет создавать из зараженных устройств мощные ботнеты.
После обнаружения угрозы авторы Netdragon значительно усложнили анализ и удаление своего кода. Вредоносное ПО использует многоуровневый подход для обеспечения устойчивости (persistence) и обхода защитных мер. В частности, оно активно удаляет правила межсетевого экрана (iptables/nftables), блокирующие связь с командным сервером (C2), а также модифицирует системный файл hosts, перенаправляя запросы к официальным доменам обновлений Feiniu на несуществующий IP-адрес. Это блокирует получение критических исправлений безопасности.
Для обеспечения долговременного присутствия в системе Netdragon использует двойной механизм устойчивости. В пользовательском пространстве создается служба systemd, а на уровне ядра загружается собственный модуль. Такая комбинация значительно затрудняет очистку устройства. Кроме того, код защищен динамическим шифрованием, что осложняет его статический анализ и обнаружение сигнатурами антивирусов.
Вследствие этих действий механизм системных обновлений на многих зараженных устройствах был нарушен. Это привело к тому, что NAS длительное время оставались уязвимыми, а риск для пользовательских данных возрастал. По предварительным оценкам, к концу января ботнет Netdragon включал в себя около 1500 устройств. Анализ данных пассивного DNS и активных IP-адресов указывает, что все они относятся к экосистеме Feiniu, а устройства других производителей не затронуты.
Функционал и анализ вредоносного ПО
Семейство Netdragon имеет модульную архитектуру и состоит из двух основных компонентов: загрузчика (Loader) и модуля для DDoS-атак. Загрузчик отвечает за первоначальное внедрение, разведку среды и доставку основного модуля. Анализ последних образцов показывает их высокую адаптацию именно под среду fnOS, что свидетельствует о целенаправленном характере атаки.
Загрузчик выполняет несколько деструктивных функций. Он активно скрывает следы своего присутствия, массово очищая системные логи, включая журналы безопасности и аудита. Для удаленного управления на устройстве открывается HTTP-бэкдор на локальном порту, позволяющий злоумышленнику выполнять произвольные команды. Критически важной является функция блокировки обновлений и восстановления системы. Помимо упомянутого перенаправления доменов, вредоносное ПО завершает процессы, ответственные за восстановление, и удаляет связанные с обновлением системные файлы и утилиты.
Основной DDoS-модуль использует алгоритм ChaCha20 для расшифровки своих строковых констант. После запуска он маскирует свой процесс, переименовывая его в "sshd", а также использует операции с монтированием, чтобы скрыть информацию о себе в виртуальной файловой системе "/proc". Для обеспечения устойчивости копии модуля размещаются в системных директориях и прописываются в автозагрузку через "systemd" и скрипты "rc.local".
Инфраструктура и активность ботнета
Связь с командным сервером осуществляется по зашифрованному протоколу. Интересной особенностью является использование двух разных значений nonce (одноразовых номеров) для шифрования трафика от бота к серверу и обратно, что повышает криптостойкость. Ботнет получает задания на атаку через Telegram-бота или HTTP API. Мониторинг показывает, что атаки не имеют четкой географической или отраслевой направленности - их цели разбросаны по всему миру и относятся к различным секторам экономики.
Для маскировки DDoS-активности вредоносная программа заменяет системную утилиту "cat" и завершает процессы, отвечающие за мониторинг сетевой активности, что затрудняет обнаружение аномалий администратором.
Эскалация противостояния
После того как проблема стала публичной и появились первые скрипты для очистки, авторы Netdragon оперативно обновили свою вредоносную программу. В конце января была выпущена новая версия, которая не только меняет порт бэкдора и обновляет C2-инфраструктуру, но и целенаправленно удаляет правила межсетевого экрана, добавленные пользователями или средствами защиты для блокировки командных серверов. Также была усилена устойчивость за счет нового модуля ядра и обновленной службы "systemd".
Особую озабоченность вызвала команда, массово отправленная ботам 1 февраля, которая предписывала удалить файл "rsa_private_key.pem". Хотя точные мотивы неизвестны, удаление приватных криптографических ключей всегда несет в себе высокие риски, потенциально ведущие к потере доступа к зашифрованным данным или сервисам.
В настоящее время полный вектор атаки и детали эксплуатируемой уязвимости остаются неизвестными. Производитель Feiniu рекомендует пользователям, особенно тем, чьи устройства имеют прямой доступ в интернет, проверить их на признаки заражения, применить доступные патчи и рассмотреть возможность временного ограничения доступа к интерфейсам управления извне до выхода официального исправления безопасности.
Индикаторы компрометации
IPv4
- 20.89.168.131
Domains
- ak.killaurasleep.top
- aura.kabot.icu
- xd.killaurasleep.top
SHA1
- a50bc62f34bff2761d9117c62f172ede4c508bf7
- a5dcff8289d7468f6cd4783a19f4d8d94c76170a
