Los empleados de la división IBM X-Force
descubrieron la variante ELF Linux / Mirai Trojan , que está equipada con un nuevo
módulo para minar bitcoins . Como antes, el troyano con la funcionalidad del gusano busca e infecta dispositivos vulnerables con el sistema operativo Linux conectado a Internet: estos son grabadores de video digital (DVR), decodificadores de televisión, cámaras de video vigilancia, cámaras IP y enrutadores.
La minería de Bitcoin es una función de botnet nueva, pero bastante esperada, que anteriormente se usaba solo para ataques DDoS. Sin embargo, para llevar a cabo un ataque DDoS rentable, debe encontrar un cliente o una víctima adecuada que acepte pagar dinero para detener el ataque (el servicio se posiciona como consultoría en el campo de la seguridad de la información, protección contra DDoS, puede concluir un acuerdo). Encontrar clientes y víctimas para un ataque es un trabajo constante que lleva mucho tiempo. Por otro lado, la extracción de bitcoins proporciona un ingreso pasivo constante y no requiere ningún esfuerzo.
Es poco probable que los atacantes ganen mucho dinero en minería. Incluso cientos de miles de decodificadores y cámaras de vigilancia no pueden calcular una cantidad significativa de hashes. Los propietarios de botnets ganarán algunos satoshi. Pero incluso unos pocos satoshi es mejor que nada, porque la botnet todavía está inactiva.
En dispositivos de Internet, la tasa de hash es simplemente ridícula. Nadie lo midió siquiera. Se sabe que en los procesadores Cortex-A8 el hashrate es 0.12–0.2 Mheshes / s, mientras que en Cortex-A9 es 0.57 Mheshes / s. La mayoría de los decodificadores tienen procesadores más débiles.
Recordemos que el gusano Mirai y la botnet hicieron mucho ruido en septiembre-octubre de 2016. Debido al hecho de que el gusano clasificó automáticamente a través
de combinaciones estándar de inicio de sesión y contraseña , logró extenderse a cientos de miles de dispositivos (cámaras de seguridad, enrutadores, decodificadores digitales y DVR), desde los cuales organizó varios ataques DDoS. El poder de estos ataques superó con creces las capacidades de las botnets de PC estándar, porque las computadoras comunes son mucho más difíciles de infectar en tales números.
Una de las primeras víctimas de la botnet Mirai en septiembre pasado fue el periodista Brian Krebs, que se especializa en seguridad de la información y desanonimización de hackers. El tráfico en su proveedor en pico
alcanzó los 665 Gbps , que se convirtió en uno de los ataques DDoS más poderosos en la historia de Internet. Brian tuvo que desconectar el sitio porque Akamai había eliminado el sitio de la protección DDoS para no poner en riesgo a otros clientes.
En septiembre-octubre de 2016, la botnet se utilizó para atacar al proveedor de alojamiento francés OVH y para un
poderoso ataque DDoS en Dyn , que proporciona infraestructura de red y servicios DNS para organizaciones clave de EE. UU. En este caso, el flujo de solicitudes de basura de decenas de millones de direcciones IP fue de aproximadamente 1 Tbit / s. Los usuarios de todo el mundo han tenido problemas para acceder a Twitter, Amazon, Tumblr, Reddit, Spotify y Netflix, y otros. De hecho, la botnet Mirai "colocó" temporalmente un pequeño segmento de Internet estadounidense.
En noviembre, una nueva versión de Mirai
atacó varios modelos de enrutadores Zyxel y Speedport de usuarios del proveedor alemán de Internet Deutsche Telekom. Como lo demostró una investigación de Kaspersky Lab, la versión modificada del gusano en este caso utilizó un nuevo método de distribución, a través del protocolo especializado TR-064, que utilizan los proveedores para controlar de forma remota los dispositivos de los usuarios. En el caso de que la interfaz de control (en el puerto 7547) sea accesible desde el exterior, es posible descargar y ejecutar código arbitrario en el dispositivo, o hacer lo mismo, pero a través de la etapa de abrir el acceso a la interfaz web tradicional.
Consola web cuentagotas Mirai. Captura de pantalla: IBM X-ForceEn septiembre-octubre de 2016,
estalló una
verdadera guerra entre los piratas informáticos por controlar la botnet Mirai después de que se descubriera una
vulnerabilidad en el código del gusano. Aunque Brian Krebs finalmente
logró desanonimizar a los autores de la versión original de Mirai, es muy probable que ahora el control sobre la botnet pertenezca a otros piratas informáticos, uno o más grupos.
La nueva versión de Mirai con un minero incorporado probablemente pertenece a uno de esos grupos que luchan por el control de la botnet. La actividad de esta versión del malware se observó durante varios días a fines de marzo.
Según los informes, el gusano se propaga por los métodos anteriores: escaneando el espacio de direcciones en busca de nuevos dispositivos que funcionen a través de Telnet (puerto 23) y seleccionando contraseñas para ellos. Los dispositivos Linux con todas las versiones de BusyBox y DVRHelper están en riesgo si tienen instaladas contraseñas estándar.