Исследователями обнаружен новый клон всем известного ботнета Mirai, ориентированного на IoT-устройства. На этот раз, под угрозой оказались встраиваемые устройства, предназначенные для применения в бизнес-средах. Конечной целью злоумышленников является контроль над устройствами, обладающими пропускной способностью и проведение масштабных DDoS-атак.
Оригинальный Mirai появился в 2016 году. Он заражал маршрутизаторы, IP-камеры, видеорегистраторы и другие устройства, в которых часто стоит пароль по умолчанию, а также устройства использующие устаревшие версии linux.
Новый вариант Mirai предназначен для корпоративных устройств
Новый ботнет обнаружила команда исследователей Unit 42 из Palo Alto Network. Его отличие от других клонов заключается в том, что он предназначен для корпоративных устройств, в том числе беспроводных презентационных систем WePresent WiPG-1000 и телевизоров LG Supersign.
Эксплойт remote access execution для телевизоров LG Supersign (CVE-2018-17173) был доступен в сентябре прошлого года. А для WePresent WiPG-1000, был опубликован в 2017 году. В общей сложности бот наделен 27 экслойтами, новых из которых — 11. Также был расширен набор «необычных учетных данных по умолчанию» для проведения атак по словарю. Новый вариант Mirai также нацелен на различные встроенные аппаратные средства, такие как:
Ремарка:Авторы оригинального Mirai уже были арестованы, но доступность исходного кода, опубликованного в 2016 году, позволяет новым злоумышленникам создавать свои ботнеты на его основе. Например, Satory и Okiru.
На момент написания перевода я не знал, что на хабре уже есть аналогичная статья.
Оригинальный Mirai появился в 2016 году. Он заражал маршрутизаторы, IP-камеры, видеорегистраторы и другие устройства, в которых часто стоит пароль по умолчанию, а также устройства использующие устаревшие версии linux.
Новый вариант Mirai предназначен для корпоративных устройств
Новый ботнет обнаружила команда исследователей Unit 42 из Palo Alto Network. Его отличие от других клонов заключается в том, что он предназначен для корпоративных устройств, в том числе беспроводных презентационных систем WePresent WiPG-1000 и телевизоров LG Supersign.
Эксплойт remote access execution для телевизоров LG Supersign (CVE-2018-17173) был доступен в сентябре прошлого года. А для WePresent WiPG-1000, был опубликован в 2017 году. В общей сложности бот наделен 27 экслойтами, новых из которых — 11. Также был расширен набор «необычных учетных данных по умолчанию» для проведения атак по словарю. Новый вариант Mirai также нацелен на различные встроенные аппаратные средства, такие как:
- Маршрутизаторы Linksys
- Маршрутизаторы ZTE
- Роутеры DLink
- Сетевые устройства хранения
- NVR и IP-камеры
«Эти новые функции дают ботнету большую поверхность для атаки», — сообщили исследователи из Unit 42 в своем блоге. «В частности, ориентир на корпоративные каналы связи позволяет ему завладеть большей пропускной способностью, что в конечном итоге приводит к увеличению огневой мощи ботнета для атак DDoS».Данный инцидент подчеркивает необходимость контроля со стороны предприятий за IoT-устройствами в своей сети, грамотной настройке безопасности, а также необходимость в регулярном обновлении.