Похоже операторы «короля ботнетов» Mirai почуяли, что можно добиться мирового господства значительно более простым способом, чем атакуя умные устройства. Встречайте: эксперты обнаружили первый образец Mirai, предназначенный не для устройств «Интернета вещей», а для Linux-серверов.
Для распространения нового варианта злоумышленники пытаются эксплуатировать уязвимость в серверах Hadoop, затрагивающую модуль Yet Another Resource Negotiator (YARN) и впервые опубликованную на GitHub восемь месяцев назад. Уязвимость позволяет осуществить внедрение команд и выполнить произвольные команды shell.
Netscout ежедневно фиксирует десятки тысяч попыток атаковать Hadoop YARN (Radware сообщает о 350 тысячах попыток атаковать в день по состоянию на 15 ноября). Из 225 проанализированных исследователями кодов как минимум десяток образцов «несомненно являются вариантами Mirai».
Поскольку образцы разработаны специально для атак на YARN, они намного проще, чем предшественники. Варианты Mirai для IoT должны уметь определять архитектуру устройства и различать x86, x64, ARM, MIPS и пр., а новым образцам это не нужно, поскольку они предназначены исключительно для архитектуры х86.
Как и в случае с IoT, новый вариант вредоносного ПО VPNFilter (разновидности Mirai) по-прежнему пытается взламывать серверы путем подбора заводских учетных данных через Telnet. Любопытно, что в случае успеха он не устанавливает вредонос, а «звонит домой», сообщая IP-адрес, логин и пароль атакуемого устройства.
Напомним забавное про VPNFilter, который успел заразить полмиллиона устройств в 54 странах, а потом пасть от руки ФБР. Тогда оказалось, что эта структура зомбированных устройств способна оставаться активной и после отключения главного C&C-сервера VPNFilter благодаря универсальному многоступенчатому дизайну. Простой перезагрузки устройства, которую советовали на высшем уровне, также недостаточно, так как VPNFilter способен заново установить вредоносные модули на маршрутизатор.
Оригинальная сеть Mirai идентифицировала устройства, доступные в интернете, и применяла комбинацию эксплоитов и учетной информации для того, чтобы заражать гаджеты и присоединять их к ботнету. Ботнет, как утверждает ФБР, на пике формы в 2016 году состоял из более чем 300000 устройств, прежде всего, видеорегистраторов, IP-камер и маршрутизаторов. Mirai стала известной благодаря атакам на блог журналиста Брайана Кребса, хостинг-провайдера OVH и DNS-провайдера Dyn.
Кибернападение на Dyn осенью 2016 года серьезно нарушило работу ряда крупных ресурсов, включая GitHub, PayPal, Pinterest, Reddit, Soundcloud, Spotify и Twitter. 324 миллиона долларов – во столько, по подсчетам калифорнийских экспертов, обошлась DDoS-атака ботнета Mirai в сентябре 2016 года, когда 24 тысячи зараженных умных видеокамер непрерывно 77 часов утюжили сайт специалиста по инфобезопасности Брайана Кребса.
А вот что АКБ писала ранее о Mirai:
Создателю Mirai вынесен второй приговор — штраф в $8,6 млн и исправительные работы
Ботнет Mirai живет, эволюционирует и трансмигрирует через границы платформ
И породили Xor.DDoS и Mirai страшного сына-гиганта — и звали его ChaCha-Lua!
