اكتشف موظفو قسم IBM X-Force
متغير ELF Linux / Mirai Trojan ، المجهز
بوحدة جديدة
لتعدين البيتكوين . كما كان من قبل ، يبحث حصان طروادة مع وظيفة الديدان عن الأجهزة الضعيفة ويصيبها بنظام تشغيل Linux المتصل بالإنترنت - وهي مسجلات الفيديو الرقمية (DVRs) وأجهزة فك التشفير التلفزيونية وكاميرات المراقبة بالفيديو وكاميرات IP وأجهزة التوجيه.
يعد تعدين البيتكوين ميزة جديدة ، ولكن متوقعة تمامًا من الروبوتات التي تم استخدامها سابقًا في هجمات DDoS فقط. ومع ذلك ، لإجراء هجوم DDoS مربح ، تحتاج إلى العثور على عميل أو ضحية مناسبة توافق على دفع المال لوقف الهجوم (يتم وضع الخدمة كاستشارة في مجال أمن المعلومات ، والحماية من DDoS ، يمكنك إبرام اتفاقية). إن العثور على عملاء وضحايا للهجوم هو عمل مستمر يستغرق وقتًا طويلاً. من ناحية أخرى ، تعطي تعدين البيتكوين دخلًا سلبيًا ثابتًا ولا تتطلب أي جهد.
من غير المرجح أن يكسب المهاجمون الكثير من الأموال على التعدين. حتى مئات الآلاف من أجهزة فك التشفير وكاميرات المراقبة غير قادرة على حساب أي كمية كبيرة من التجزئة. سيكسب أصحاب Botnet القليل من satoshi. ولكن حتى القليل من الساتوشي أفضل من لا شيء ، لأن البوت نت لا يزال خاملاً.
على أجهزة الإنترنت ، يعد معدل التجزئة مجرد سخرية. لم يقم أحد بقياسه. من المعروف أنه في معالجات Cortex-A8 تبلغ نسبة التجزئة 0.12-0.2 Mheshes / s ، وفي Cortex-A9 تكون 0.57 Mhesha / s. تحتوي معظم أجهزة فك التشفير على معالجات أضعف.
تذكر أن دودة Mirai والبوت نت تسببت في الكثير من الضوضاء في سبتمبر وأكتوبر 2016. نظرًا لحقيقة أن الدودة يتم ترتيبها تلقائيًا من خلال مجموعات
قياسية لكلمة المرور وكلمة المرور ، فقد تمكنت من الانتشار إلى مئات الآلاف من الأجهزة (الكاميرات الأمنية والموجهات وأجهزة فك التشفير الرقمية وأجهزة تسجيل الفيديو الرقمي) ، والتي نظمت منها العديد من هجمات DDoS. تجاوزت قوة هذه الهجمات إمكانات شبكات الكمبيوتر الشخصي القياسية ، لأن أجهزة الكمبيوتر العادية أكثر صعوبة في الإصابة بهذه الأرقام.
كان الصحفي بريان كريبس ، أحد المتخصصين الأوائل في شبكة ميراي للروبوتات في سبتمبر الماضي ، والمتخصص في أمن المعلومات وإخفاء هوية القراصنة. بلغ عدد الزيارات لدى مزودها في ذروة
665 جيجابت في الثانية ، والتي أصبحت واحدة من أقوى هجمات DDoS في تاريخ الإنترنت. كان على براين أن ينقل الموقع إلى وضع عدم الاتصال لأن Akamai أخرج الموقع من حماية DDoS حتى لا يعرض العملاء الآخرين للخطر.
في سبتمبر-أكتوبر 2016 ، تم استخدام الروبوتات لمهاجمة مزود الاستضافة الفرنسي OVH ولهجوم
DDoS قوي على Dyn ، الذي يوفر البنية التحتية للشبكة وخدمات DNS للمنظمات الأمريكية الرئيسية. في هذه الحالة ، كان تدفق طلبات القمامة من عشرات الملايين من عناوين IP حوالي 1 تيرابت / ثانية. واجه المستخدمون في جميع أنحاء العالم مشاكل في الوصول إلى Twitter و Amazon و Tumblr و Reddit و Spotify و Netflix وغيرها. في الواقع ، قامت "ميراوت بوتنت" مؤقتًا "بوضع" جزء صغير من الإنترنت الأمريكي.
في نوفمبر ،
هاجمت نسخة جديدة من Mirai
عدة نماذج من أجهزة توجيه Zyxel و Speedport من مستخدمي موفر الإنترنت الألماني Deutsche Telekom. كما أظهر تحقيق أجرته شركة Kaspersky Lab ، استخدمت النسخة المعدلة من الدودة في هذه الحالة طريقة توزيع جديدة - من خلال البروتوكول المتخصص TR-064 ، والذي يستخدمه مقدمو الخدمة للتحكم عن بُعد في أجهزة المستخدم. في حالة الوصول إلى واجهة التحكم (على المنفذ 7547) من الخارج ، يصبح من الممكن إما تنزيل وتنفيذ تعليمات برمجية عشوائية على الجهاز ، أو القيام بنفس الشيء ، ولكن من خلال مرحلة فتح الوصول إلى واجهة الويب التقليدية.
وحدة تحكم ويب ميري قطارة. لقطة الشاشة: IBM X-Forceفي سبتمبر - أكتوبر 2016 ،
اندلعت حرب حقيقية بين المتسللين للسيطرة على الروبوتات Mirai بعد اكتشاف
ثغرة في رمز الدودة. على الرغم من أن Brian Krebs
تمكن أخيرًا
من تحديد هوية مؤلفي النسخة الأصلية من Mirai ، فمن المحتمل جدًا أن السيطرة الآن على الروبوتات تنتمي إلى قراصنة آخرين - مجموعة واحدة أو أكثر.
ربما ينتمي الإصدار الجديد من Mirai مع عامل منجم مدمج إلى واحدة من تلك المجموعات التي تقاتل من أجل السيطرة على الروبوتات. لوحظ نشاط هذا الإصدار من البرامج الضارة لعدة أيام في نهاية مارس.
وبحسب ما ورد تنتشر الدودة بالطرق السابقة: مسح مساحة العنوان بحثًا عن أجهزة جديدة تعمل عبر Telnet (المنفذ 23) ، واختيار كلمات المرور لها. تكون أجهزة Linux التي تحتوي على جميع إصدارات BusyBox و DVRHelper معرضة للخطر إذا كان لديها كلمات مرور قياسية مثبتة.