Для розширення можливостей нової версії Mirai зловмисники використовували Aboriginal Linux

Черв’як Mirai, який дозволив своїм творцям створити ботнет, що складається з сотень тисяч IoT-пристроїв, не зник. Після того, як його вихідні коди витекли в мережу, що сталося ще два роки тому, вірусописьменники змогли створити на їх основі багато нових варіантів, як клонів, так і серйозно модифікованих систем.

Приміром, ботнети Wicked, Sora, Owari і Omni базуються виключно на ісходниках Mirai з доробками нових «авторів». Про це стало відомо після того, як фахівець з інформаційної безпеки Анкит Анубхав (Ankit Anubhav) з компанії NewSky Security навіть брав інтерв’ю у оператора цих ботнетів.

Найбільш активної платформою з названих стала Sora. З червня цього року активність її постійно зростає.

«Нове покоління» ботнетів на ісходниках Mirai вивчають і інші фахівці з інформаційної безпеки, як приватні експерти, так і цілі компанії, включаючи Symantec. Команда цієї організації опублікувала детальний звіт з результатами свого дослідження.

Виявилося, що нинішня версія Sora модифікована по відношенню до свого предтечу, вивченої експертами на початку року. Нова версія використовує Aboriginal Linux, на основі дистрибутива створюються двійкові коди для ряду платформ. І всі вони використовуються Sora в момент атаки. Наскільки можна зрозуміти, модифікація була проведена для того, щоб зробити Sora максимально універсальним ботнетом.

Після того, як атака виконана і підібраний SSH-пароль до пристрою, проводиться завантаження з виконанням широкого спектру бінарників. Робиться це для того, щоб знайти найбільш підходящий інструмент для зараження платформи пристрою. Експерти з Mcafee пишуть, що цей підхід відмінно працює в тому випадку, якщо кінцевий пристрій працює під управлінням Android і Debian. Раніше вони не піддавалися нападам Mirai.


Так виглядає хід атаки новітньої версії Sora

Читайте також  Burger King і таємна запис екрану вашого телефону

Варто відзначити, що Sora — далеко не єдина активна версія Mirai, яка працює в даний момент. Трой Мурш (Troy Mursch), експерт з мережевої безпеки, заявив, що і інші ботнети на основі вихідних Mirai активно заражають IoT-пристрої. Запорука успіху ботнетів такого типу в тому, що багато IoT-девайси не оновлюються, тобто не отримують нових прошивок. А оскільки розробники більше піклуються про дизайн та функціональність пристроїв, але практично не звертають увагу на кіберзахист — ботнети будуть множитися і далі.

Year-to-date, incoming traffic matching the Mirai-like signature has been observed from 86,063 unique source IPs.

Spikes of #botnet activity started in June. @circl_lu has shared a similar observation. pic.twitter.com/z0rMRVyI2I

— Bad Packets Report (@bad_packets) August 1, 2018

Як відомо, під час перезавантаження пристрою, зараженого Mirai або його клоном, він зникає з гаджета. Але оскільки ботнетів зараз чимало, а їх активність досить велика, то навіть «очистившийся» девайс незабаром знову стане жертвою зараження.

Користувачі домашніх і навіть корпоративних пристроїв не перезавантажують свої системи, оскільки вони їм потрібні для щоденної роботи — отримання медіафайлів, перегляду контенту в мережі або освіти. Крім того, багато інтернет-провайдерів, які постачають власні роутери користувачам і зовсім рекомендують своїм клієнтам не оновлювати гаджети щоб уникнути проблем несумісності.

Так, користувачам рекомендується встановлювати файлові системи в домашніх маршрутизаторах і пристроях інтернету доступні тільки для читання — це ускладнює встановлення шкідливих програм. Крім того, необхідно відключати режими пакетної обробки, спуфінга або «нерозбірливого» режиму. Якщо є така можливість, варто включити опцію автоматичне оновлення вбудованого ПЗ для попереджувального усунення вразливостей.

Поки розробники IoT-систем не стануть приділяти проблемі інформаційної безпеки більше уваги, ця проблема залишиться актуальною.

Читайте також  Настройка модема Укртелеком для послуги ОГО!

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *