Исследователями обнаружен новый клон всем известного ботнета Mirai, ориентированного на IoT-устройства. На этот раз, под угрозой оказались встраиваемые устройства, предназначенные для применения в бизнес-средах. Конечной целью злоумышленников является контроль над устройствами, обладающими пропускной способностью и проведение масштабных DDoS-атак.



Ремарка:
На момент написания перевода я не знал, что на хабре уже есть аналогичная статья.
Авторы оригинального Mirai уже были арестованы, но доступность исходного кода, опубликованного в 2016 году, позволяет новым злоумышленникам создавать свои ботнеты на его основе. Например, Satory и Okiru.

Оригинальный Mirai появился в 2016 году. Он заражал маршрутизаторы, IP-камеры, видеорегистраторы и другие устройства, в которых часто стоит пароль по умолчанию, а также устройства использующие устаревшие версии linux.

Новый вариант Mirai предназначен для корпоративных устройств

Новый ботнет обнаружила команда исследователей Unit 42 из Palo Alto Network. Его отличие от других клонов заключается в том, что он предназначен для корпоративных устройств, в том числе беспроводных презентационных систем WePresent WiPG-1000 и телевизоров LG Supersign.

Эксплойт remote access execution для телевизоров LG Supersign (CVE-2018-17173) был доступен в сентябре прошлого года. А для WePresent WiPG-1000, был опубликован в 2017 году. В общей сложности бот наделен 27 экслойтами, новых из которых — 11. Также был расширен набор «необычных учетных данных по умолчанию» для проведения атак по словарю. Новый вариант Mirai также нацелен на различные встроенные аппаратные средства, такие как:

  • Маршрутизаторы Linksys
  • Маршрутизаторы ZTE
  • Роутеры DLink
  • Сетевые устройства хранения
  • NVR и IP-камеры

«Эти новые функции дают ботнету большую поверхность для атаки», — сообщили исследователи из Unit 42 в своем блоге. «В частности, ориентир на корпоративные каналы связи позволяет ему завладеть большей пропускной способностью, что в конечном итоге приводит к увеличению огневой мощи ботнета для атак DDoS».
Данный инцидент подчеркивает необходимость контроля со стороны предприятий за IoT-устройствами в своей сети, грамотной настройке безопасности, а также необходимость в регулярном обновлении.

Комментарии (0)