Впервые ботнет IoTroop (другое название Reaper) был обнаружен специалистами осенью 2017 года. Напомним, вредоносная сеть сформирована на базе вируса Mirai. Ряд экспертов предположили, что в сеть было вовлечено свыше миллиона устройств.

Для распространения вирус использует различные уязвимости в популярных сетевых устройствах Linksys, Synology, Netgear, MikroTik, TP-Link, Avtech, D-Link. Это и выделяет утилиту среди аналогов, поскольку обычно вирусы данного типа используют Telnet-сканеры и готовые наборы списков учетных данных.

В начале 2018 года на крупные финансовые компании Нидерландов подверглись мощным DDoS-атакам. Тогда экспертам не удалось обнаружить источник атаки. Уже весной аналитики Recorded Future анонсировали очередной подробный отчет об инциденте, из которого следует, что данные атаки – это начало работы IoTroop.

Подсчеты Recorded Future показали, что пиковая мощность атак составляла порядка 30 Гбит/сек, злоумышленники использовали схему с амплификацией через DNS. Конечно, по современным меркам такой показатель мощности DDoS-атаки сложно назвать внушительным – например, в марте текущего года была зафиксирована атака мощностью до 1,7 ТБ/сек.

Эксперты также отметили, что ботнет IoTroop заметно доработан. В докладе Fortinet отмечается, что используемый эксплойт основан на гибком движке Lua и специальных скриптах, что позволяет злоумышленникам оперативно изменять алгоритм атаки, эксплуатирую новые уязвимости. Этими выводами согласились эксперты Recorded Future, которые также отметили, что в настоящее время вредоносная сеть эксплуатирует более 10 уязвимостей в IoT-устройствах.

По информации Recorded Future, в процессе первой вредоносной кампании ботнет состоял преимущественно из роутеров MikroTik – 80%. Остальные устройства – «умные» устройства Cisco, ZyXEL, TP-Link, Dahua, GoAhead, Linksys, Ubiquity, а также уязвимые сервера IIS и Apache. В дальнейшем вирус постепенно «осваивал» другие уязвимые устройства. Например, были атакованы телевизоры Samsung UE55D7000 и регистраторы Dahua.