Боты Mirai продолжают вербовать IoT-устройства в свои ряды с быстротой, достигшей рекордных высот после публикации исходного кода.

Исследователи из Level 3 Communications идентифицировали командную инфраструктуру Mirai, используемую для взлома уязвимых IoT и связи с новоявленными ботами. По оценке телеоператора, за две недели количество камер ТВ-наблюдения, видеорегистраторов, домашних сетевых устройств, скомпрометированных Mirai, увеличилось более чем в два раза, с 213 тыс. до 493 тыс. «В действительности число таких ботов может быть больше, так как выявленная инфраструктура не дает полной картины», — предупреждают эксперты.

Большинство скомпрометированных гаджетов прописаны в США, однако Бразилия и Колумбия тоже занимают высокие позиции в списке заражений. Еще более тревожен рост числа злоумышленников, стремящихся воспользоваться возможностями, которые предоставляет огромная армия подключенных к Интернету устройств. Так, согласно Level 3, 24% хостов ботнета Mirai используются также в атаках Gafgyt, он же BASHLITE. «Столь большое перекрытие свидетельствует о том, что один и тот же пул уязвимых IoT-устройств атакуют представители многих семейств зловредов», — констатируют исследователи.

В резком росте количества заражений Mirai эксперты винят публикацию его исходников, хотя этот же фактор позволил исследователям изучить поведение зловредного бота. Результаты анализа подтвердили, что основным назначением Mirai является постоянное сканирование Интернета в поисках подключенных устройств и проведение брутфорс-атак для получения доступа к тем из них, которые защищены слабыми или дефолтными паролями. После взлома уязвимое устройство приобщается к большому ботнету, используемому для проведения DDoS-атак.

«Хотя слив исходников действительно облегчил задачу ИБ-исследователям, позволив им разобраться в том, как ботнет работает, это сыграло на руку также криминальным элементам, — подтвердил глава ИБ-исследований Level 3 Дейл Дрю (Dale Drew). — Им теперь доступен базовый код полнофункционального бота, который можно с легкостью модифицировать и быстро пустить в ход, в чем мы уже удостоверились».

Исследователи идентифицировали ряд вредоносных ресурсов в TLD-домене .cx (о. Рождества), ассоциированных с ботнетом Mirai. Их доменные имена имеют префикс network или report, в зависимости от роли, которую данный узел играет в составе ботнета. Список вредоносных доменов, обнаруженных в ходе исследования, приведен в блог-записи Level 3.

«Мы стараемся поставить в известность жертв этого ботнета и оказать им помощь, — заявил Дрю в ответ на вопрос Threatpost о современном состоянии вредоносных ресурсов. — Мы также рассылаем запрос на отключение владельцам серверов, задействованных в командной инфраструктуре, и будем фильтровать их по IP, если они не примут меры».

Представитель Level 3 также отметил высокую ротацию активных центров управления ботнетом, которые сменяются примерно каждые два дня. «Они переключаются между C&C с тем, чтобы те, кто их отслеживает, не смогли с легкостью соотнести коммуникации ботов и командных серверов», — поясняет собеседник Threatpost.

В районе 18 сентября Level 3 также довелось наблюдать достаточно мощные DDoS-атаки на командную инфраструктуру Mirai, инициированные группировкой, стоящей за Gafgyt/BASHLITE. «Мы не знаем, было ли это стремлением устранить конкурента, прикрыв его Mirai-операции, или попыткой захвата скомпрометированных Mirai узлов» — так прокомментировал Дрю эту акцию в ходе интервью.

Категории: Аналитика, Вредоносные программы