При анализа на последните големи DDoS-атаки, експертите по информационна сигурност на компанията Incapsula забелязаха, че много от атаките са осъществени с помощта на нова мрежа от софтуерни роботи, в която участват над 40 000 стандартни маршрутизатора за домашни и неголеми офисни мрежи. Първите атаки чрез тази бот-мрежа са фиксирани в края на месец декември миналата година, след което са затихнали, а сега в края на миналия месец са възобновени.
Повечето включени в бот-мрежата маршрутизатори са произведени от компанията Ubiquiti Networks и имат проблеми с безопасността, позволяващи получаването на достъп до устройствата от външни мрежи чрез HTTP или SSH. Тъй като много потребители не си правят труда да сменят потребителските имена и паролите, зададени от производителя, атакуващите са се възползвали от зададените входни параметри по подразбиране.
Това не е нещо ново. Нов момент е това, че освен осъществяване на DDoS-атаки, бот-мрежата включва софтуерен компонент, който сканира мрежите за наличието на типови пароли в маршрутизаторите и инсталира вреден код в тях. Координирането работата на новата бот-мрежа става чрез IRC. След инсталирането на троянеца, устройствата стават уязвими и за други атаки. Incapsula отбелязват, че в един маршрутизатор средно са инсталирани четири различни троянеца, най-често MrBlack,Dofloo и Mayday.
