Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Специалисты Palo Alto Networks сообщили, что в феврале 2019 года была обнаружена новая версия вредоноса Mirai, которая теперь способна атаковать еще больше IoT-устройств.

Вредонос Mirai хорошо знаком каждому, кто следит за происходящим в сфере информационной безопасности. Еще в 2016 году малварь «прославилась» во время мощнейших DDoS-атак против DNS-провайдера Dyn и европейского провайдера OVH (тогда мощность атаки составила 1 Тб/сек). В том же году исходные коды Mirai были опубликованы в открытом доступе, что привело к появлению множества новых IoT-вредоносов, построенных на базе этих исходников (Wicked, Satori, Okiru, Masuta и так далее), а также огромного количества мощных IoT-ботнетов.

По данным исследователей Palo Alto Networks, новые образцы малвари нацелены на процессоры Altera Nios II, OpenRISC, Tensilica Xtensa и Xilinx MicroBlaze, что дополнительно расширяет перечень возможных устройств для атак. Эти решения можно встретить во многих встраиваемых системах, в том числе, в роутерах, сетевых датчиках, цифровых сигнальных процессорах и так далее.

Эксперты объясняют, что тогда как одни злоумышленники идут по пути расширения арсенала своей малвари новыми эксплоитами, другие стараются охватить как можно больше архитектур и тем самым увеличить число устройств, которые могут стать жертвами ботнета.

Новая вариация Mirai, по данным исследователей, была создана еще в ноябре 2018 года. Помимо поддержки новых архитектур, малварь оснащена модифицированным алгоритмом шифрования для коммуникаций и обновленной версией функции для DDoS-атак (новый attack_method_ovh использует почти тот же TCP SYN метод атак, что и оригинальная Mirai).

Свежие вариации вредоноса нашли на незащищенном сервере амстердамского дата-центра Digital Ocean. Там же размещались ранее известные специалистам образцы Mirai, использующие эксплоиты для уязвимостей в продуктах D-Link, Netgear, Huawei, Realtek а также китайского фреймворка ThinkPHP Web. Из этого аналитики делают вывод, что разработчик этих модификаций Mirai пробует разные подходы и, вероятнее всего, стоит за созданием сразу нескольких ботнетов.