Les employés de la division IBM X-Force ont
découvert la variante du cheval de Troie ELF Linux / Mirai , qui est équipée d'un nouveau
module pour l'extraction de bitcoins . Comme auparavant, un ver avec une fonctionnalité de ver recherche et infecte les appareils vulnérables avec le système d'exploitation Linux connecté à Internet - ce sont les enregistreurs vidéo numériques (DVR), les décodeurs de télévision, les caméras de surveillance vidéo, les caméras IP et les routeurs.
L'extraction de bitcoins est une nouvelle fonctionnalité de botnet, mais très attendue, qui n'était auparavant utilisée que pour les attaques DDoS. Cependant, pour mener une attaque DDoS rentable, vous devez trouver un client ou une victime appropriée qui accepte de payer de l'argent pour arrêter l'attaque (le service se positionne comme consultant dans le domaine de la sécurité de l'information, de la protection contre les DDoS, vous pouvez conclure un accord). Trouver des clients et des victimes pour une attaque est un travail constant qui prend du temps. En revanche, l'extraction de bitcoins donne un revenu passif constant et ne nécessite aucun effort.
Il est peu probable que les attaquants gagnent beaucoup d'argent en exploitant des mines. Même des centaines de milliers de décodeurs et de caméras de surveillance ne sont pas en mesure de calculer une quantité significative de hachages. Les propriétaires de botnet gagneront quelques satoshi. Mais même quelques satoshi valent mieux que rien, car le botnet est toujours inactif.
Sur les appareils Internet, le taux de hachage est tout simplement ridicule. Personne ne l'a même mesuré. On sait que sur les processeurs Cortex-A8, le hashrate est de 0,12 à 0,2 Mheshes / s, et sur Cortex-A9, il est de 0,57 Mhesha / s. La plupart des décodeurs ont des processeurs plus faibles.
Rappelons que le ver Mirai et le botnet ont fait beaucoup de bruit en septembre-octobre 2016. Du fait que le ver triait automatiquement les
combinaisons standard de mot de passe de connexion , il a réussi à se propager à des centaines de milliers d'appareils (caméras de sécurité, routeurs, décodeurs numériques et DVR), à partir desquels il a organisé plusieurs attaques DDoS. La puissance de ces attaques dépassait de loin les capacités des botnets PC standard, car les ordinateurs ordinaires sont beaucoup plus difficiles à infecter en de tels nombres.
L'une des premières victimes du botnet Mirai en septembre dernier a été le journaliste Brian Krebs, spécialisé dans la sécurité de l'information et la désanonymisation des hackers. Le trafic de son fournisseur en pointe a
atteint 665 Gbps , ce qui est devenu l'une des attaques DDoS les plus puissantes de l'histoire d'Internet. Brian a dû mettre le site hors ligne car Akamai avait retiré le site de la protection DDoS afin de ne pas mettre d'autres clients en danger.
En septembre-octobre 2016, le botnet a été utilisé pour attaquer le fournisseur d'hébergement français OVH et pour une
puissante attaque DDoS contre la société Dyn , qui fournit une infrastructure réseau et des services DNS pour les principales organisations américaines. Dans ce cas, le flux de demandes de déchets provenant de dizaines de millions d'adresses IP était d'environ 1 Tbit / s. Les utilisateurs du monde entier ont eu des problèmes pour accéder à Twitter, Amazon, Tumblr, Reddit, Spotify et Netflix, etc. En fait, le botnet Mirai a temporairement «posé» un petit segment de l'Internet américain.
En novembre, une nouvelle version de Mirai a
attaqué plusieurs modèles de routeurs Zyxel et Speedport d'utilisateurs du fournisseur Internet allemand Deutsche Telekom. Comme l'a montré une enquête de Kaspersky Lab, la version modifiée du ver dans ce cas a utilisé une nouvelle méthode de distribution - via le protocole spécialisé TR-064, qui est utilisé par les fournisseurs pour contrôler à distance les appareils des utilisateurs. Dans le cas où l'interface de contrôle (sur le port 7547) est accessible de l'extérieur, il devient possible de télécharger et d'exécuter du code arbitraire sur l'appareil, ou de faire de même, mais à travers l'étape d'ouverture de l'accès à l'interface Web traditionnelle.
Console Web Mirai Dropper. Capture d'écran: IBM X-ForceEn septembre-octobre 2016, une
véritable guerre a éclaté entre les pirates pour contrôler le botnet Mirai après qu'une
vulnérabilité a été découverte dans le code du ver. Bien que Brian Krebs ait finalement
réussi à désanonymiser les auteurs de la version originale de Mirai, il est très probable que le contrôle du botnet appartient désormais à d'autres pirates - un ou plusieurs groupes.
La nouvelle version de Mirai avec un mineur intégré appartient probablement à l'un de ces groupes qui se battent pour le contrôle du botnet. L'activité de cette version du malware a été constatée depuis plusieurs jours fin mars.
Le ver se propagerait selon les méthodes précédentes: analyser l'espace d'adressage à la recherche de nouveaux appareils fonctionnant via Telnet (port 23) et sélectionner des mots de passe pour eux. Les appareils Linux avec toutes les versions de BusyBox et DVRHelper sont à risque s'ils ont des mots de passe standard installés.