Unapređeni Mirai botnet napada pametne uređaje u kompanijama

Na meti su ruteri, kamere, televizori i drugi IoT uređaji namenjeni poslovnim korisnicima!

Unapređeni Mirai botnet napada pametne uređaje u kompanijama

Otkrivena je nova varijanta čuvenog Mirai botneta koja cilja IoT uređaje namenjene korišćenju u poslovnom okruženju. Namera napadača je da preuzmu kontrolu nad većim protokom kako bi izveli što razornije DDoS napade.

Iako su autori originalne Mirai botnet varijante već neko vreme u zatvoru, i dalje se pojavljuju nove varijante, uključujući Satori i Okiru, jer je izvorni kod javno dostupan od 2016. Iste godine se Mirai prvi put pojavio. Inficirao je rutere, nadzorne kamere, DVR i druge pametne uređaje za koje se mahom koriste default kredencijali i koji imaju zastarele Linux verzije. Od pomenutih inficiranih uređaja, Mirai je formirao mrežu botova koji su zatim korišćeni za moćne DDoS napade.

Istraživači iz Palo Alto Networksa su primetili da najnovija Mirai varijanta po prvi put targetira uređaje poslovnih korisnika, uključujući i WePresent WiPG-1000 Wireless Presentation systems i LG Supersign televizore. Nova varijanta je svom velikom arsenalu exploita dodala 11 novih, tako da trenutno raspolaže sa ukupno 27 exploita, a pridodat je i novi set “neuobičajenih default kredencijala” kako bi brute-force napadi na IoT uređaje bili efektniji.

Nove karakteristike povećavaju površinu napada botneta, a napadom na IoT uređaje kompanija, botnet dobija veći protok koji mu služi kao gorivo za razornije DDoS napade.

Pored LG Supersign televizora i WePresent WiPG-1000, nova Mirai varijanta eksploatiše ranjivosti različitih hardwarea:

  • Linksys ruteri
  • ZTE ruteri
  • DLink ruteri
  • Netgear ruteri, uređaji i wireless kontrolori
  • Network Storage uređaji
  • NVRs i IP kamere

Nakon skeniranja i identifikovanja ranjivih uređaja, malver poziva novi Mirai payload sa kompromitovanog sajta i downloaduje ga na napadnuti uređaj, koji onda postaje deo botneta i koji se kasnije može koristiti za DDoS napade.

Mirai je dospeo u žižu interesovanja nakon napada na DNS provajdera Dyn i francuskog hosting provajdera OVH koji su uticali na rad nekih od najvećih svetskih sajtova - Twitter, Netflix, Amazon, Spotify itd. Ova dva napada su u tom trenutku bili najveći ikad viđeni DDoS napadi. Veliki rast popularnosti Mirai je doživeo kada je javno objavljen izvorni kod u oktobru 2016, što je raznim hakerima omogućilo da prilagode pretnju svojim željama i metama.

Ovakav razvoj događaja bi morao da posluži kao opomena kompanijama da vode računa o tome kako upravljaju IoT uređajima u okviru svoje IT infrastrukture. To za početak znači obaveznu promenu default lozinki i redovno ažuriranje. U slučaju da se radi o uređajima za koje nema neophodnih patchova, kao krajnju meru zaštite potrebno je takve uređaje ukloniti iz mreže.

Izvor: The Hacker News