Сотрудники подразделения IBM X-Force обнаружили вариант трояна ELF Linux/Mirai, который оснащён новым модулем для майнинга биткоинов. Как и раньше, троян с функциональностью червя ищет и заражает уязвимые приборы с операционной системой Linux, подключенные к Интернету — это цифровые видеомагнитофоны (DVR), телевизионные приставки, камеры видеонаблюдения, IP-камеры и маршрутизаторы.
Майнинг биткоинов — новая, но вполне ожидаемая функция ботнета, который раньше использовался только для DDoS-атак. Однако для проведения прибыльной DDoS-атаки нужно найти заказчика или подходящую жертву, которая согласится заплатить деньги за прекращение атаки (услуга позиционируется как консалтинг в области информационной безопасности, защита от DDoS, можно заключить договор). Поиск клиентов и жертв для атаки — постоянная работа, которая отнимает много времени. С другой стороны, майнинг биткоинов даёт постоянный пассивный доход и не требует никаких усилий.
Вряд ли злоумышленники заработают много денег на майнинге. Даже сотни тысяч телеприставок и камер наблюдения не способны обсчитать сколько-нибудь значительное количество хешей. Владельцы ботнета заработают считанные сатоши. Но даже несколько сатоши — это лучше, чем ничего, ведь ботнет всё равно простаивает.
На устройствах Интернета веще хешрейт просто смехотворный. Его даже никто не измерял. Известно, что на процессорах Cortex-A8 хешрейт составлят 0,12–0,2 Мхеша/с, а на Cortex-A9 — 0,57 Мхеша/с. На большинстве телеприставок стоят процессоры послабее.
Напомним, что червь и ботнет Mirai наделали немало шуму в сентябре-октябре 2016 года. За счёт того, что червь автоматически перебирал стандартные комбинации логин-пароль, он сумел распространиться на сотни тысяч устройств (камеры безопасности, маршрутизаторы, цифровые телеприставки и DVR), с которых организовал несколько DDoS-атак. Мощность этих атак намного превышала возможности стандартных ботнетов из ПК, потому что обычные компьютеры гораздо сложнее инфицировать в таком количестве.
Одной из первых жертв ботнета Mirai в сентябре прошлого года стал журналист Брайан Кребс, который специализируется на темах информационной безопасности и деанонимизации хакеров. Трафик на его провайдера в пике достиг 665 Гбит/с, что стало одной из самых мощных DDoS-атак в истории Интернета. Брайану пришлось перевести сайт в офлайн, потому что компания Akamai вывела сайт из под DDoS-защиты, чтобы не подвергать риску других своих клиентов.
В сентябре-октябре 2016 года ботнет использовался для атаки на французского хостинг-провайдера OVH и для мощной DDoS-атаки на компанию Dyn, которая предоставляет сетевую инфраструктуру и обслуживание DNS для ключевых американских организаций. В этом случае поток мусорных запросов с десятков миллионов IP-адресов составлял около 1 Тбит/с. У пользователей по всему миру наблюдались проблемы с доступом к сайтам Twitter, Amazon, Tumblr, Reddit, Spotify и Netflix и другим. Фактически, ботнет Mirai временно «положил» небольшой сегмент американского Интернета.
В ноябре новый вариант Mirai атаковал несколько моделей маршрутизаторов Zyxel и Speedport у пользователей немецкого интернет-провайдера Deutsche Telekom. Как показало расследование «Лаборатории Касперского», доработанный вариант червя в этом случае использовал новый способ распространения — через специализированный протокол TR-064, который используется провайдерами для удаленного управления пользовательскими устройствами. В том случае, если интерфейс управления (на порте 7547) доступен снаружи, появляется возможность либо загрузить и выполнить на устройстве произвольный код, либо сделать то же самое, но через стадию открытия доступа к традиционному веб-интерфейсу.
Веб-консоль дроппера Mirai. Скриншот: IBM X-Force
В сентябре-октябре 2016 года между хакерами развернулась настоящая война за контроль над ботнетом Mirai после того как в коде червя была обнаружена уязвимость. Хотя Брайан Кребс в конце концов сумел деанонимизировать авторов первоначальной версии Mirai, но весьма вероятно, что сейчас контроль над ботнетом принадлежит другим хакерам — одной или нескольким группировкам.
Новая версия Mirai со встроенный майнером, вероятно, принадлежит одной из тех группировок, которые борются за контроль над ботнетом. Активность этой версии зловреда была отмечена в течение нескольких дней в конце марта.
Как сообщается, червь распространяется прежними методами: сканируя адресное пространство в поисках новых устройств, которые работают по Telnet (порт 23), и подбирая пароли к ним. Опасности подвержены устройства под Linux со всеми версиями BusyBox и DVRHelper, если на них установлены стандартные пароли.
Комментарии (19)
nafikovr
12.04.2017 19:23цифровые видеомагнитофоны
это устоявшееся выражение или трудности перевода? честно, просто интересно
zenkz
12.04.2017 20:07+3Скорее всего в оригинале говорится о DVR (Digital Video Recoder), который позволяет записывать ТВ-программы, ставить их на паузу и т.д.
Estranged01
12.04.2017 22:56+1DVRами еще называют видеорегистраторы, которые пишут аналоговые камеры видеонаблюдения, а просматривать записи и реал-тайм можно по сети. Они все тоже на Линуксе.
nafikovr
13.04.2017 17:32однако МАГНИТОфоном они при этом все равно не стоновятся
zenkz
14.04.2017 01:35+1Ну нет в русском языке устоявшегося аналога фразе Video Recorder.
Если дословно, то это видеорегистратор или видео-записыватель, видеокамера.
Но видеорегистраторы — это совсем другой класс устройств. (Для большинства — чётко ассоциируется со словом «автомобильный»)
То же самое с видеокамерой.
А «видео-записыватель» — звучит коряво.
Я бы назвал это устройство — «видеоконтроллер» или «ТВ-компьютер». (Если речь о ТВ-приставке, а не о устройстве в системе видеонаблюдения)
Zel
13.04.2017 10:54-1Там ещё про «зловреды» есть. Так что точно не трудности. Был недавно пост про ализаровщину. Это, наверное, просто фирменный стиль
plartem
12.04.2017 19:43Это все невероятно, но функция майнинга была отключена во время распостранения, а в конце марта распостранение прекратилось(что и можно увидеть на схеме).
parotikov
13.04.2017 10:48-1просто оставлю это здесь: Генерация Bitcoin в браузере на javascript
Биткоин заменить на любую криптовалюту, по вкусу.
plek
13.04.2017 10:48+1Как долго придется ждать прихода Мирайи на виртуалbox, после поднятия телнетд?
Ugrum
13.04.2017 10:50+1"-Бэримор, а куда делись продукты из нашего нового умного холодильника?
-Mirai, сэр."
9660
13.04.2017 15:29Я правильно понимаю что есть люди выставляющие камеры и прочие холодильники в обход файрвола в интернет напрямую?
Ugrum
13.04.2017 16:04+1Есть люди, которые вообще не слышали о файрволлах, необходимости смены дефолтных паролей и других экзотических вещах. И таких людей очень много. И у них есть этой вашей бесовской техники.
9660
13.04.2017 16:11И любим мы их не за это да.
Но как вообще это выглядит? Я вот понять не могу, если нат то снаружи камеру не увидеть. Чтобы выставить ее голой жопой наружу это нужно либо ей белый адрес вбить или таки прописать правило проброса портов. Или я чего-то не понимаю?
Barnaby
Почему именно биткоины? Это же абсурд. 1 миллион Cortex-A9 дадут аж 9$ в месяц. Разве нет asic-резистивных алгоритмов работающих на arm?
darkdaskin
Устойчивость к ASIC обычно достигается использованием большого количества RAM, а для приличной производительности требуется большой объём кэш-памяти. На большинстве умных устройств с этим негусто. Bitcoin же можно майнить на любом железе, да хоть на листе бумаги.