تصيب البوت نت الجديدة تكنولوجيا عمال المناجم ، لتحل محل عناوين المحفظة

Satori هي عائلة من البرامج الضارة التي يصيب ممثلوها أجهزة التوجيه وكاميرات المراقبة وأجهزة إنترنت الأشياء الأخرى. الهدف هو تكوين برامج الروبوت ، والتي تسمح لك بأداء مهام مختلفة - من DDoS إلى المهام الأكثر تعقيدًا ، مثل التعدين. ولكن الآن ظهر ممثل جديد لهذه العائلة ، والذي لا يقوم بتعدين أي شيء ، ولكنه ببساطة يسرق العملات المعدنية الملغومة.

في 8 يناير ، نشر ممثلو شركة أمن المعلومات الصينية Netlab 360 تقريرًا عن الكشف عن البرامج الضارة التي تفسد أنظمة التعدين. تستغل النسخة الجديدة من Satori نقاط الضعف في Claymore Miner ، لتحل محل عنوان المحافظ لأصحاب معدات التعدين بحاملات الدخلاء.

نظرًا لأن الجهاز يستمر في العمل بشكل طبيعي ، فقد لا يكتشف عامل المنجم المشكلة على الفور. بالطبع ، بعد توقف العملات المعدنية الملغومة عن القدوم إلى المحفظة ، يجذب هذا الانتباه. ولكن في بعض الحالات ، قد تمر أيام حتى يتم ملاحظة هذه المشكلة. لا يمكن تسمية هذا البرنامج الضار بأنه ضخم حتى الآن.

المحفظة معروفة ، وكم من المال معروف أيضًا. طوال الوقت ، تم استخراج عملتين اثنتين فقط من Ethereum ، لذلك لم يحصل مطورو الديدان (حتى الآن) على دخل ضخم. ولكن إذا تبين أن الفيروس معدي ، فقد تزيد التدفقات المالية عدة مرات. حاليًا ، يبلغ أداء المعدات التي تم التقاطها بواسطة البرامج الضارة حوالي 2.1 مليون تجزئة في الثانية. يمكن تطوير هذه الطاقة بواسطة 85 جهاز كمبيوتر مع بطاقة Radeon Rx 480 أو 1135 جهاز كمبيوتر مع بطاقات GeForce GTX 560M.

بقدر ما يمكن للمرء أن يحكم ، فإن أداء الجهاز لا ينمو كثيرًا ، وربما لا يصيب الفيروس الأجهزة الجديدة ، أو أن أصحاب النظام يجدون المشاكل بسرعة ولا يمكن للفيروس أن يشكل أي شبكة مهمة.

من الجدير بالذكر أن عائلة ساتوري هي نسخة معدلة من Mirai botnet ، والتي تمت مشاركة شفرة المصدر الخاصة بها مؤخرًا. يتحكم Mirai في أجهزة إنترنت الأشياء ، وفي عام 2016 بدأت هذه الروبوتات في التطور بوتيرة سريعة جدًا ، مما تسبب في مشاكل كبيرة جدًا.

بالنسبة إلى Satori ، تم تعديل رمز هذا البرنامج بشكل كبير. لا تصيب الدودة نفسها الأدوات باستخدام كلمات المرور الافتراضية. بدلاً من ذلك ، تحلل البرامج الضارة برامج الجهاز بحثًا عن الثغرات الأمنية. إذا وجدت أي ، تصبح الأجهزة المصابة. في أوائل ديسمبر ، أصاب Satori أكثر من 100 ألف جهاز ، وفي المستقبل القريب يمكن أن ينمو حجم هذه الروبوتات عدة مرات.

يدعي باحثون من Netlab 360 أن الإصدار الجديد من Satori ، الذي تم تحسينه للعملات المشفرة ، ظهر في 8 يناير. يحلل الأجهزة لثغرتين مختلفتين لإنترنت الأشياء ، بالإضافة إلى أنه يستخدم ثقبًا في برنامج Claymore Mining ، كما ذكر أعلاه.

ليس من الواضح حتى الآن بالضبط كيف يصيب الفيروس الجديد أجهزة الكمبيوتر التي تقوم بالتعدين على العملات الرقمية. هناك ضعف واحد على الأقل في Claymore Mining معروف الآن. بقدر ما يمكنك فهمه ، تعمل الدودة مع منفذ 3333 مع الإعدادات الافتراضية (بدون مصادقة).

لم تقدم Netlab 360 كمية كبيرة من البيانات لمنع المتسللين الخبيثة من الحصول على معلومات مفيدة. لم يستجب مطورو Claymore Mining حتى الآن لمزاعم الأمن السيبراني.

لكن أحد مطوري Satori أضاف رسالة بالمحتوى التالي: "لا تقلق بشأن هذا الروبوت ، فهو لا يقوم بأي إجراءات ضارة. يمكنك الاتصال بي على ستارةriseup.net ". بيان غريب نوعًا ما ، نظرًا لأن حقيقة أن البرامج الضارة تستبدل محافظ عمال المناجم بمحافظ المطورين الخاصة بها ليست من الواضح أنها إجراء غير ضار.

أما ساتوري فهو أبعد ما يكون عن "الوريث" الوحيد لميراي. في أكتوبر من العام الماضي ، أعلن الباحثون عن اكتشاف مشكلة جديدة على الويب - برنامج ضار قوي آخر أصبح يعرف باسم Reaper و IoTroop. كما يجد ثغرات في برامج وأجهزة "السحابة" ، ويصيبها ، ويحولها إلى زومبي.