ЛК обнаружила новые возможности нашумевшего ботнета Mirai

ЛК обнаружила новые возможности нашумевшего ботнета Mirai

ЛК обнаружила новые возможности нашумевшего ботнета Mirai

Ботнет Mirai, ставший самым крупным в истории ботнетом из «умных» устройств и позволивший злоумышленникам в конце 2016 года провести серию масштабных DDoS-атак, может стать еще мощнее и крупнее. «Лаборатория Касперского» обнаружила программу, которая позволяет переносить бот Mirai с зараженного Windows-узла на любое уязвимое «умное» устройство, работающее на Linux.

Таким образом, ботнет теперь может пополняться не только за счет прямого взлома гаджетов Интернета вещей, но и за счет заражения их через традиционные ПК (в случае если «умное» устройство подключено к компьютеру). 

Код программы-распространителя гораздо чище и богаче, чем оригинальный исходный код Mirai, но ее функциональность пока довольно ограничена – программа способна переносить бот Mirai с Windows на Linux только в том случае, если пароль к удаленному telnet-соединению в «умном» устройстве возможно угадать методом подбора. Тем не менее очевидно, что код программы-распространителя создан крайне опытным разработчиком. Собранные «Лабораторией Касперского» артефакты – языковые метки в ПО, сборка кода на китайской системе, чьи серверы расположены в Тайване, а также использование украденных у китайских компаний сертификатов подписи – указывают на то, что программа могла быть создана китайскоговорящим разработчиком. 

По данным «Лаборатории Касперского», только в 2017 году Mirai атаковал по меньшей мере 500 уникальных систем, а с учетом новых возможностей в будущем число жертв этого зловреда может значительно увеличиться. Под удар Mirai в 2017 году попали в основном развивающиеся страны: Россия, Индия, Вьетнам, Китай, Пакистан, Филиппины, Бангладеш, Саудовская Аравия, ОАЭ, Иран, Марокко, Египет, Турция, Тунис, Малави, Молдавия, Румыния, Бразилия, Венесуэла, Колумбия и Перу. 

«Появление «моста» между Linux и Windows для Mirai действительно вызывает беспокойство, поскольку это говорит о том, что в игру вступили более опытные разработчики. Они воспользовались публикацией исходного кода Mirai, и теперь их отточенные навыки и техники могут вывести угрозу на новый уровень. Windows-ботнет, распространяющий боты Mirai для «умных» устройств, открывает для зловреда новые девайсы и сети, которые ранее были недоступны. И это только начало», – отмечает Курт Баумгартнер, ведущий антивирусный эксперт «Лаборатории Касперского».

В настоящее время «Лаборатория Касперского» тесно взаимодействует с CERT-командами, хостинг-провайдерами и сетевыми операторами по всему миру, чтобы помочь интернет-инфраструктуре справиться с растущей угрозой и нейтрализовать как можно больше командно-контрольных серверов, которые злоумышленники используют для атак с помощью Mirai. Защитные решения компании распознают и блокируют боты Mirai на Windows.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордную DDoS-атаку в 11,5 Тбит/с провели с ботнета из 300 тыс. роутеров

Специалисты QiAnXin XLab уже год отслеживают DDoS-атаки с участием AISURU и уверены, что рекордный по мощности флуд, зафиксированный в прошлом месяце Cloudflare, был сгенерирован именно этим ботнетом.

Китайским экспертам удалось выявить трех операторов вредоносной сети. Один из них, с ником Snow, отвечает за разработку DDoS-бота, некто Tom — за поиск уязвимостей для распространения инфекции, Forky — за сдачу ботнета в аренду.

В апреле этого года Tom взломал сервер, с которого Totolink раздает обновления прошивки для своих роутеров, и внедрил вредоносный скрипт (t.sh), выполняющий перенаправление на загрузку AISURU.

В результате численность ботнета за короткий срок перевалила за 100 тысяч. В настоящее время, по оценке исследователей, в его состав входят около 300 тыс. зараженных устройств, способных дружными усилиями создать DDoS-флуд мощностью до 11,5 Тбит/с.

Для распространения AISURU в основном используются уязвимости N-day в роутерах D-Link, Linksys, Zyxel, SDK Realtek, а также в IP-камерах. Конкуренции зловред не терпит: так, он в какой-то момент угнал все видеорегистраторы nvms9000 у RapperBot.

Особой избирательности в выборе целей для DDoS-атак не замечено. Их число может доходить до нескольких сотен в сутки.

 

География мишеней — в основном Китай, США, Германия, Великобритания и Гонконг.

 

В новейших образцах AISURU реализована также прокси-функциональность. С этой целью им придан опциональный модуль для проверки скорости интернета по Speedtest.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru