Говорящий по-китайски злоумышленник распространяет вариант Mirai с перепрофилированного Windows-ботнета.

Исследователи из «Лаборатории Касперского» опубликовали отчет, в котором указали, что код был написан опытным разработчиком, также реализовавшим возможность распространять IoT-зловред на устройства под Linux при определенных условиях.

Исследователи предупредили, что «пока это не сенсационное превращение Mirai для Linux в Mirai для Windows», но еще одно серьезное последствие утечки исходного кода Mirai в открытый доступ, а также низкой степени безопасности подключаемых к Интернету систем и устройств.

«Вне зависимости от этого, нам тревожно видеть связь с Mirai и Linux, и Windows, — говорится в отчете «Лаборатории». — Как и в случае публикации исходного кода банкера ZeuS, которая вылилась в несколько лет серьезных проблем с безопасностью, IoT-бот Mirai принесет еще много неприятностей в ближайшие годы. То, чему мы стали свидетелями, — только начало».

Единственный способ, при помощи которого Windows-ботнет может распространять зловреда на системы Linux, — это брутфорс-атака на удаленное соединение telnet на устройстве. Также зловред может проникать через инжекты в SSH, SMI, SQL и системы управления промышленными процессами. Вредоносная программа атакует IP-камеры, подключенные к сети DVR-приставки и медиацентры, а также различные устройства на основе Raspberry Pi и Banana Pi.

«К сожалению, новый вариант кода является детищем более опытного ботовода, который является новичком в игре Mirai и, возможно, не таким уж юным, как первоначальные операторы Mirai», — сказали эксперты «Лаборатории Касперского».

По словам представителей ИБ-компании, в этом году они наблюдали атаки на более чем 500 уникальных систем, особенно на развивающихся рынках.

«Более опытные хакеры привнесли в атаки более сложные техники и высокие навыки, используя имеющиеся возможности доступного всем исходного кода Mirai, — сказал Курт Баумгартнер (Kurt Baumgartner), главный исследователь по вопросам безопасности в «Лаборатории Касперского». — Windows-ботнет, распространяющий IoT-боты Mirai, получил новое развитие и сделал возможным распространение Mirai на новый тип устройств и сетей, которые раньше были недоступны операторам Mirai. Это только начало».

Рассматриваемый бот был не только написан и скомпилирован на китайской системе, но и подписан украденными сертификатами, принадлежавшими ранее китайским производителям полупроводников и пакетированных платформ для изготовления ИС — Xi’ an JingTech electronic Technology Co., LTD и Partner Tech (Shanghai) Co., Ltd. Зловред нацелен на сервера Microsoft SQL и MySQL, так как именно такие типы серверов обычно имеют доступ к частным сетевым устройствам, например IP-камерам и DVR-приставкам.

«Появление китайскоговорящего вирусописателя, имеющего доступ к украденным сертификатам, обладающего умением использовать вредоносный код win32 против множества MSSQL-серверов по всему миру, а также возможностью портировать код в эффективный кросс-платформенный бот, — это новая ступень развития незрелых, стагнирующих, но деструктивных ботнет-операций Mirai, наблюдавшихся в 2016 году, — говорится в отчете «Лаборатории Касперского». — Из-за этого кода большее количество систем и сетей могут стать новыми жертвами Mirai. Кроме того, развитие событий говорит о постепенном созревании Mirai благодаря публично доступным исходникам».

Атаки происходят поэтапно. Сначала проводятся сканирование и атака на онлайн-ресурсы, при помощи которых загружаются дополнительные вредоносные элементы и инструкции. Множество компонентов позаимствованы из других ресурсов и атак.

Варианты Mirai появляются регулярно после публикации исходного кода в октябре прошлого года, за несколько недель до крупномасштабной DDoS-атаки IoT-ботнета на сеть DNS-провайдера Dyn. С тех пор уже другой Linux-ботнет атаковал незащищенные порты telnet и общался с зараженными устройствами через IRC-чат. В ноябре вариант Mirai был замешан в DDoS-атаке, нарушившей работу около 1 млн DSL-маршрутизаторов Deutsche Telekom. Исходный код Mirai также дал новую жизнь целой индустрии DDoS-атак на заказ, так как для получения прибыли от использования кода Mirai необходим опыт.

Категории: DoS-атаки, Вредоносные программы, Главное, Хакеры