Король вернулся: Mirai снова жив и снаряжен сразу 27 эксплоитами

Опубликовано at 13:32
209 0

Известный каждому специалисту по кибербезопасности ботнет Mirai «прославился» еще в 2016 году во время мощнейших DDoS-атак против DNS-провайдера Dyn и европейского провайдера OVH (тогда мощность атаки составила 1 Тб/сек). В том же году исходные коды Mirai были опубликованы в открытом доступе, что привело к появлению множества новых IoT-вредоносов, построенных на базе этих исходников (Wicked, Satori, Okiru, Masuta и так далее), а также огромного количества мощных IoT-ботнетов.

Mirai и его производные по-прежнему представляют большую опасность, однако на этой неделе специалисты Palo Alto Networks обнаружили новую версию самого короля – оригинального Mirai, который был доработан и оснащен сразу 27 эксплоитами, 11 из которых являются новыми для этого типа вредоносов.

Данная вариация Mirai все так же атакует устройства интернета вещей и сетевое оборудование через Telnet, и комплектуется встроенным списком учетных данных по умолчанию, по которому осуществляет перебор. Кроме брутфорса, однако, теперь используется широкий спектр эксплоитов, а также атаки распространились на новые типы оборудования.

Новые для Mirai эксплоиты, найденные в этой версии малвари, затрагивают следующие устройства:

Телевизоры LG Supersign
Беспроводные решения для презентаций WePresent WiPG-1000
Облачные камеры DLink DCS-930L
Роутеры DLink DIR-645, DIR-815
Роутеры Zyxel P660HN-T
Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620
Модемы и роутеры Netgear DGN2200 N300
Контроллеры Netgear Prosafe WC9500, WC7600, WC7520

324 миллиона долларов. Во столько, по подсчетам калифорнийских экспертов, обошлась DDoS-атака ботнета Mirai в сентябре 2016 года. Тогда 24 тысячи зараженных умных видеокамер непрерывно 77 часов утюжили сайт специалиста по инфобезопасности Брайана Кребса.

В декабре прошлого года трое американцев – Парас Джа, Джозайа Уайт и Дэлтон Нортон – признали свою вину в создании и применении Mirai. Им грозит до 10 лет тюрьмы каждому.  и применении одноименной ботсети для организации DDoS-атак. Ботнет, как утверждает ФБР, состоял из более чем 300000 устройств, прежде всего, видеорегистраторов, IP-камер и маршрутизаторов. Полную мощь Mirai показал во время атаки на DNS-провайдера Dyn осенью 2016 года, которая серьезно нарушила работу ряда крупных ресурсов, включая GitHub, PayPal, Pinterest, Reddit, Soundcloud, Spotify и Twitter.

Читайте также на АКБ:

…Трое американских граждан Парас Джа, Джозайа Уайт и Дэлтон Нортон признали свою вину в создании вредоносной программы Mirai и применении одноименной ботсети для организации DDoS-атак.

Правоохранители сообщают, что Джа, Уайт и Нортон занимались, как утверждают в Министерстве юстиции США, разработкой вредоносной программы Mirai, которая предназначается для атак на IoT-устройства и сетевое оборудование под управлением Linux. Mirai идентифицировала устройства, доступные в интернете, и применяла комбинацию эксплоитов и учетной информации для того, чтобы заражать гаджеты и присоединять их к ботнету. Ботнет, как утверждает ФБР, состоял из более чем 300000 устройств, прежде всего, видеорегистраторов, IP-камер и маршрутизаторов.

…Похоже операторы «короля ботнетов» Mirai почуяли, что можно добиться мирового господства значительно более простым способом, чем атакуя умные устройства. Встречайте: эксперты обнаружили первый образец Mirai, предназначенный не для устройств «Интернета вещей», а для Linux-серверов.

Для распространения нового варианта злоумышленники пытаются эксплуатировать уязвимость в серверах Hadoop, затрагивающую модуль Yet Another Resource Negotiator (YARN) и впервые опубликованную на GitHub восемь месяцев назад. Уязвимость позволяет осуществить внедрение команд и выполнить произвольные команды shell.

Netscout ежедневно фиксирует десятки тысяч попыток атаковать Hadoop YARN (Radware сообщает о 350 тысячах попыток атаковать в день по состоянию на 15 ноября). Из 225 проанализированных исследователями кодов как минимум десяток образцов «несомненно являются вариантами Mirai».

…Обнаружена программа, которая позволяет переносить бот Mirai с зараженного Windows-узла на любое уязвимое «умное» устройство, работающее на Linux, сообщает «Лаборатория Касперского» (ЛК). Mirai стал самым крупным в истории ботнетом из «умных» устройств, в этом году Mirai уже атаковал не меньше 500 уникальных систем. Под удар попали в основном развивающиеся страны. Теперь ботнет может пополняться не только за счет прямого взлома гаджетов «Интернета вещей» (IoT), но и за счет заражения их через традиционные ПК (если «умное» устройство подключено к компьютеру). Программа могла быть создана китайскоговорящим разработчиком, предполагают в ЛК, ссылаясь на собранные артефакты.

…После кибератаки на Dyn авторы разместили исходный код Mirai в публичном доступе. И здесь, два года спустя, начинается уже наша история. По данным экспертов, в настоящее время хакеры и IT-энтузиасты работают над тем, чтобы обеспечить кроссплатформенность инфицирования — независимо от ОС, установленной на компьютере или гаджете, она падет перед мощью Mirai. Основным костяком тела великого ботнета по-прежнему остаются умные устройства и компоненты умных домов — как правило, большая часть владельцев таких устройств в 2018 году не меняют пароли и не обновляют прошивку. А это сотни тысяч, в перспективе миллионы процессоров, чьи мощности можно использовать для сокрушительных кибератак.

В конце июля, сообщают эксперты Symantec, им удалось обнаружить сервер, на котором тестировались несколько готовых вариантов Mirai-образного малваря, каждый спроектированный для архитектуры отдельной ОС. Соответственно, остается только первично заразить компьютер или устройство бинарным загрузчиком — для чего есть тысячи способов — и он уже сам подберет идеальную отмычку именно для этой системы. В принципе, для киберапокалипсиса уже все готово.

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий