Mitarbeiter der IBM X-Force-Division
entdeckten die ELF Linux / Mirai-Trojaner-Variante , die mit einem neuen
Modul zum Mining von Bitcoins ausgestattet ist . Nach wie vor sucht und infiziert der Trojaner mit der Funktionalität des Wurms anfällige Geräte mit dem mit dem Internet verbundenen Linux-Betriebssystem - dies sind digitale Videorecorder (DVRs), TV-Set-Top-Boxen, Videoüberwachungskameras, IP-Kameras und Router.
Bitcoin Mining ist eine neue, aber durchaus erwartete Botnet-Funktion, die bisher nur für DDoS-Angriffe verwendet wurde. Um einen profitablen DDoS-Angriff durchzuführen, müssen Sie jedoch einen Kunden oder ein geeignetes Opfer finden, das sich bereit erklärt, Geld zu zahlen, um den Angriff zu stoppen (der Dienst ist als Beratung im Bereich Informationssicherheit, Schutz vor DDoS positioniert, Sie können eine Vereinbarung abschließen). Das Finden von Kunden und Opfern für einen Angriff ist eine ständige Aufgabe, die zeitaufwändig ist. Auf der anderen Seite bietet der Abbau von Bitcoins ein konstantes passives Einkommen und erfordert keinen Aufwand.
Es ist unwahrscheinlich, dass Angreifer mit dem Bergbau viel Geld verdienen. Selbst Hunderttausende von Set-Top-Boxen und Überwachungskameras können keine signifikante Menge an Hashes berechnen. Botnet-Besitzer verdienen ein paar Satoshi. Aber auch ein paar Satoshi sind besser als nichts, weil das Botnetz noch im Leerlauf ist.
Auf Internetgeräten ist die Hash-Rate einfach lächerlich. Niemand hat es gemessen. Es ist bekannt, dass auf Cortex-A8-Prozessoren die Hash-Rate 0,12–0,2 Mheshes / s beträgt, während sie auf Cortex-A9 0,57 Mheshes / s beträgt. Die meisten Set-Top-Boxen haben schwächere Prozessoren.
Denken Sie daran, dass der Mirai-Wurm und das Botnetz von September bis Oktober 2016 viel Lärm gemacht haben. Aufgrund der Tatsache, dass der Wurm automatisch nach
Standard-Login-Passwort-Kombinationen sortiert wurde, gelang es ihm, sich auf Hunderttausende von Geräten (Überwachungskameras, Router, digitale Set-Top-Boxen und DVRs) auszubreiten, von denen aus er mehrere DDoS-Angriffe organisierte. Die Stärke dieser Angriffe übertraf die Fähigkeiten von Standard-PC-Botnetzen bei weitem, da gewöhnliche Computer in solchen Zahlen viel schwieriger zu infizieren sind.
Eines der ersten Opfer des Mirai-Botnetzes im vergangenen September war der Journalist Brian Krebs, der sich auf Informationssicherheit und Hacker-Deanonymisierung spezialisiert hat. Der Datenverkehr bei seinem Anbieter
erreichte zu Spitzenzeiten
665 Gbit /
s , was zu einem der stärksten DDoS-Angriffe in der Geschichte des Internets wurde. Brian musste die Site offline schalten, da Akamai die Site aus dem DDoS-Schutz genommen hatte, um andere Kunden nicht zu gefährden.
Von September bis Oktober 2016 wurde das Botnetz verwendet, um den französischen Hosting-Anbieter OVH anzugreifen und um einen
leistungsstarken DDoS-Angriff auf das Unternehmen Dyn durchzuführen , das Netzwerkinfrastruktur- und DNS-Dienste für wichtige US-Organisationen bereitstellt. In diesem Fall betrug der Strom von Müllanforderungen von zig Millionen IP-Adressen etwa 1 Tbit / s. Benutzer auf der ganzen Welt hatten Probleme beim Zugriff auf Twitter, Amazon, Tumblr, Reddit, Spotify und Netflix und andere. Tatsächlich hat das Mirai-Botnetz vorübergehend einen kleinen Teil des amerikanischen Internets „niedergelegt“.
Im November
griff eine neue Version von Mirai
mehrere Modelle von Zyxel- und Speedport-Routern von Nutzern des deutschen Internetproviders Deutsche Telekom an. Wie eine Untersuchung von Kaspersky Lab ergab, verwendete die modifizierte Version des Wurms in diesem Fall eine neue Verteilungsmethode - über das spezielle Protokoll TR-064, das von Anbietern zur Fernsteuerung von Benutzergeräten verwendet wird. Für den Fall, dass die Steuerschnittstelle (an Port 7547) von außen zugänglich ist, wird es möglich, entweder beliebigen Code auf das Gerät herunterzuladen und auszuführen oder dasselbe zu tun, jedoch über die Phase des Öffnens des Zugriffs auf die herkömmliche Weboberfläche.
Mirai Dropper Webkonsole. Screenshot: IBM X-ForceVon September bis Oktober 2016
brach ein
echter Krieg zwischen Hackern aus, um das Mirai-Botnetz zu kontrollieren, nachdem eine
Sicherheitslücke im Wurmcode entdeckt wurde. Obwohl Brian Krebs es endlich
geschafft hat, die Autoren der Originalversion von Mirai zu dekanonymisieren, ist es sehr wahrscheinlich, dass die Kontrolle über das Botnetz nun anderen Hackern gehört - einer oder mehreren Gruppen.
Die neue Version von Mirai mit einem eingebauten Bergmann gehört wahrscheinlich zu einer dieser Gruppen, die um die Kontrolle über das Botnetz kämpfen. Die Aktivität dieser Version der Malware wurde Ende März für mehrere Tage notiert.
Der Wurm verbreitet sich Berichten zufolge mit den vorherigen Methoden: Durchsuchen des Adressraums nach neuen Geräten, die über Telnet (Port 23) funktionieren, und Auswählen von Kennwörtern für diese. Linux-Geräte mit allen Versionen von BusyBox und DVRHelper sind gefährdet, wenn Standardkennwörter installiert sind.