Ботнет, получивший название Carna, работал с марта по декабрь 2012 года. Все данные, собранные им, — 9 Тбайт — исследователь выложил в открытый доступ: результаты сканирования портов, показывающие наиболее часто используемые сервисы, сведения об общем числе реально задействованных адресов IPv4, миллионы записей traceroute и т. п.
Карта распространения исследовательского ботнета |
Клиент ботнета был написан на Си и занимал всего 60 Кбайт. Он работал, сканируя внешние IP-адреса и пытаясь заходить на них по telnet с использованием верительных данных наподобие root:root, admin:admin и т. п. Исследователь утверждает, что клиент был написан так, чтобы не нарушать нормальную работу устройств и игнорировать активность во внутренних сетях. По словам автора, в реальности незащищенных устройств было найдено вчетверо больше (вебкамеры, принтеры и т. п.), но на большинстве либо не было Linux, либо не было возможности загрузить двоичный файл.
Выяснилось, что на некоторых из устройств также работает вредоносный ботнет Adira, пользующийся тем же способом заражения, сообщил исследователь. По его утверждению, такие устройства дезинфицировались.