Сигурност

Зловреден IoT код се включи в битката за овладяване на бот мрежите

Владимир Владков

Прочутият зловреден код Mirai, който превзе огромен брой устройства тип Интернет на нещата (IoT), вече си има конкурент.

Съперникът е успял да зарази някои от „лесните за хакване“ продукти тип Интернет на нещата, при това с по-голяма гъвкавост от тази на Mirai, твърдят анализатори по ИТ сигурност.

„Можем да го наречен и Mirai на стероиди“, заяви Маршал Уеб, CTO на BackConnect, доставчик на услуги за защита срещу разпределение DoS атаки (DDoS).

Изследователите в областта на сигурност са нарекли конкурентния IoT зловреден код Hajime, а след откриването му преди повече от 6 месеца той се разпространява с неотслабващо темпо, създавайки огромна бот мрежа. Уеб изчислява, че той вече е заразил над 100 000 устройства в целия свят.

Тези бот мрежи от заразени компютри са опасни. Те често се използва за стартиране на мащабни DDoS атаки, които могат да блокират големи уеб сайтове или да разрушат интернет инфраструктура.

Именно по тази причина Mirai се появи на челните страници през миналия октомври. Атака DDoS от бот мрежа, създадена чрез Mirai, атакува доставчик на DNS услуги Dyn, а това блокира или забави сериозно интернет трафика в САЩ.

Hajime е бил открит през същия месец, когато изследователите по ИТ сигурност от Rapidity Networks са търсели следи за дейността на Mirai. Вместо него, те открили подобен код, но доста „по-упорит“.

Подобно на Mirai, вирусът Hajime сканира интернет и търси зле защитени IoT устройства като камери, цифрови видеорекордери и маршрутизатори. Той ги компрометира, опитвайки различни комбинации от име и парола, а след това им праща зловредна програма.

Вирусът Hajime обаче не приема „заповеди“ от команден сървър подобно на заразените с Mirai устройства. Вместо това той общува чрез P2P мрежа, изградена от протоколи, използвани в BitTorrent. В резултат бот мрежата е по-децентрализирана и по-трудна за блокиране.

„Hajime е много по-усъвършенства от Mirai, смята Уеб. - Той разполага с по-ефективен начин да осъществява управление и контрол.“

Доставчиците на широколентов достъп постепенно ограничават бот мрежите, създадени от Mirai, като блокират интернет трафика към командните сървъри, с които те общуват. Същевременно Hajime продължава да расте по 24 часа на ден, „подчинявайки“ някои от същите устройства. Същността на P2P връзката означава, че много от заразените устройства могат да препращат файлове или инструкции на останалата част от бот мрежата, което я прави много по-устойчива на усилията за блокирането й.

Опитите за заразяване с Hajime (в синьо) и опитите за заразяване с Mirai (в червено), според „капана“, създаден от специалиста по сигурност Веселин Бончев от Националната лаборатория по компютъра вирусология към БАН. 

Кой стои зад Hajime? Анализаторите не са сигурни. Странното е, че те не са засекли досега DDoS атака, стартирана от бот мрежа Hajime, което е успокояващо донякъде. Бот мрежа от типа на Hajime вероятно е способна да започне мащабна атака, каквато осъществи Mirai.

„Засега никой не заявява „авторство“, каза Паскал Джийнънс, изследовател на сигурността е доставчика на защитни решения Radware.

В същото време Hajime продължава да претърсва интернет за уязвими устройства. „Капанът“ на Джийнънс, който следи активността на бот мрежата, е бил залят от опити за заразяване от устройства, контролирани от Hajime.

Остава неизвестно каква е крайната цел на тази бот мрежа. Един от сценариите е той да бъде използван за кибер престъпления тип DDoS атаки с цел изнудване или в схема за финансови измами. „Създава се огромна заплаха, каза Джийнънс. - В даден момент тя може да се използва за нещо много опасно.“

Възможно е обаче Hajime да е научно-изследователски проект. Или да е дело на доброволец – експерт по сигурността, който се опитва да разруши Mirai.

Изглежда Hajime е много по-широко разпространен от Mirai, заяви Веселин Бончев, експерт по сигурността в Националната лаборатория по компютъра вирусология към БАН.

Има още една ключова разлика между двата зловредни кода. Hajime е заразил много по-малко IoT устройства, използващи чипове на ARM.

При Mirai бе точно обратното, както показа сорс кода, публикуван през септември м.г. Оттогава хакери имитатори се възползваха от кода и надградиха зловедния програмен код. Веселин Бончев е открил щамове на Mirai, заразили IoT продукти, разчитащи на ARM, MIPS, x86 и още 6 други платформи.

Това означава, че битката между двата зловредни кода, не покрива напълно един и същи мишени. Все пак Hajime е успял да блокира част от разпространението на Mirai.

„Това определено е териториален конфликт“, заяви Алинсън Никсън, директор проучвания на сигурността във Flashpoint.

За да бъде спрян зловреден код, изследователите на сигурността твърдят, че е най-добре да се атакува корена на проблема, т.е. да се премахне уязвимостта в IoT устройствата. Но това ще отнеме известно време и в някои случаи това може да не е възможно. Някои доставчици на IoT продукти са пуснали защитни „кръпки“ за своите изделия, които да ги предпазят от заразяване но много други не са, обяснява Никсън.

IDG News Service





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X