Pojavila se nova varijanta Mirai botneta

Nakon zatišja, bura! Za nekoliko dana uspeo da inficira oko 100.000 uređaja.

Pojavila se nova varijanta Mirai botneta

Zloglasni IoT malver Mirai, koji kompromituje kamere, rutere i druge IoT uređaje i od njih pravi mrežu botova za DDoS napade se vratio u drugačijem obliku. Bio je pritajen, ali je itekako živ. Prošle nedelje otkriveno je da je za samo nekoliko dana uspeo da inficira oko 100.000 uređaja.

Kratka istorija Mirai botneta

Mirai je postao velika pretnja septembra 2016., kada je došlo do tada rekordnog DDoS napada od 620 gigabita u sekundi. Kroz nekoliko nedelja, autor Mirai malvera je objavio izvorni kod što je omogućilo i ljudima sa skromnijim poznavanjem tehnologije da izvedu napade velikih razmera. Gotovo momentalno je došlo do serije velikih napada. Najveći i najznačajniji su DDoS napadi koji su privremeno paralizovali ili usporili rad Twittera, GitHuba, PlayStation mreže i stotine drugih sajtova tako što su oborili servere kompanije Dyn, velikog DNS hosta.

Nova varijanta i novi napad

Protekle nedelje istraživači Netlab 360 primetili su novu, javno dostupnu Mirai varijantu. Promene koje su napravljene omogućile su malveru da se raširi na modeme kompanije ZyXEL Communications kojima je moguće pristupiti sa udaljene lokacije preko telneta sa default lozinkom. Jedna od ranjivosti je objavljena 31. oktobra. Od 22. novembra pa u narednih 60 sati, nova Mirai varijanta je preuzela kontrolu nad 100.000 uređaja. Svi inficirani uređaji su koristili IP adrese koje pripadaju Argentini, što ukazuje na to da je napad bio usmeren na korisnike regionalnog internet provajdera koji im je dao nebezbedne modeme.

U objašnjenju CVE-2016-10401 ranjivosti navodi se da ZyXEL uređaji po defaultu koriste istu superuser (su) lozinku (zyad5001), a napadači lakše dobijaju root pristup kada je poznata lozinka non-root naloga. Ranjivost omogućava napadačima da se prvo uloguju kao telnet korisnici, a onda da preko superuser lozinke steknu viši nivo privilegija.

Stalna opasnost

Srećom, dva domena koje su napadači koristili za kontrolu novo inficiranih uređaja su „konfiskovana“ u procesu koji stručnjaci za sajber bezbednost zovu sink-holing. Time su zaustavili dalje širenje infekcije i sprečili napadače da prošire mrežu botova.

Ipak, dve stvari ne daju razloga za optimizam. Prvo, pomenuti uređaji su i dalje podložni napadima nove Mirai varijante sve dok se adekvatno ne obezbede. Drugo, ovaj incident pokazuje veliki neiskorišćeni potencijal za nanošenje štete koju Mirai i slične IoT mreže botova poseduju.

Imali smo nedavno slučaj Reaper botneta kojem uopšte ne trebaju lozinke da bi se proširio. To otvara niz mogućnosti za DDoS napade, čak i kada su vlasnici i internet provajderi uredno promenili default kredencijale. Ukoliko su napadači u stanju da uz samo dva dodatna default kredencijala za nekoliko dana zaraze 100.000 uređaja, opravdano možemo pretpostaviti da na raspolaganju imaju još puno načina da masovno inficiraju IoT uređaje.

Izvor: arstechnica.com