Satori est une famille de logiciels malveillants dont les représentants infectent les routeurs, les caméras de surveillance et autres appareils IoT. L'objectif est la formation de réseaux de zombies, qui vous permettent d'effectuer diverses tâches - des DDoS aux plus complexes, comme l'exploitation minière. Mais maintenant un nouveau représentant de cette famille est apparu, qui ne mine rien, mais vole simplement les pièces minées.
Le 8 janvier, des représentants de la société chinoise de sécurité de l'information Netlab 360 ont publié un rapport faisant état de la détection de logiciels malveillants qui endommagent les systèmes d'exploitation minière. La nouvelle version de Satori exploite les vulnérabilités de
Claymore Miner , remplaçant l'adresse des sacs à main des propriétaires d'équipements miniers par des sacs à main d'intrus.
Étant donné que l'équipement continue de fonctionner normalement, le mineur peut ne pas détecter immédiatement le problème. Bien sûr, après que les pièces minées cessent de venir dans le portefeuille, cela attire l'attention. Mais dans certains cas, des jours peuvent s'écouler jusqu'à ce que ce problème soit remarqué. Ce malware ne peut pas encore être qualifié de massif.
Le portefeuille est connu , et combien d'argent il y a est également connu. Pendant tout ce temps, seules deux pièces d'Ethereum ont été extraites, de sorte que les développeurs de vers (jusqu'à présent) n'ont pas reçu d'énormes revenus. Mais si le virus se révèle infectieux, les flux financiers peuvent augmenter plusieurs fois. Actuellement, les performances des équipements capturés par le malware sont d'environ 2,1 millions de hachages par seconde. Une telle puissance peut être développée par 85 PC avec une carte Radeon Rx 480 ou 1135 ordinateurs avec des cartes GeForce GTX 560M.
Pour autant que l'on puisse en juger, les performances de l'équipement n'augmentent pas beaucoup, probablement le virus n'infecte pas les nouveaux périphériques ou les propriétaires du système trouvent rapidement des problèmes et le virus ne peut pas former de réseau significatif.
Il convient de noter que la famille Satori est une version modifiée du botnet
Mirai , dont le code source a récemment été partagé. Mirai prend le contrôle des appareils IoT, et en 2016, ce botnet a commencé à se développer à un rythme très rapide, ce qui a causé des problèmes assez importants.
Quant à Satori, le code de ce logiciel est significativement modifié. Le ver lui-même n'infecte pas les gadgets avec des mots de passe par défaut. Au lieu de cela, le malware analyse le logiciel de l'appareil pour détecter les vulnérabilités. S'il en trouve, les appareils sont infectés. Début décembre, Satori a infecté plus de 100 000 appareils, et dans un avenir proche, l'ampleur de ce botnet peut augmenter de nombreuses fois.
Les chercheurs de Netlab 360 affirment que la nouvelle version de Satori, affûtée pour les crypto-monnaies, est apparue le 8 janvier. Il analyse les appareils pour deux vulnérabilités IoT différentes, et utilise un trou dans le logiciel Claymore Mining, comme mentionné ci-dessus.
On ne sait pas encore exactement comment le nouveau virus infecte les ordinateurs exploitant des crypto-monnaies. Au moins une vulnérabilité de
Claymore Mining est maintenant connue. Pour autant que vous puissiez comprendre, le ver fonctionne avec un port 3333 avec des paramètres par défaut (sans authentification).
Netlab 360 n'a pas fourni une grande quantité de données afin d'empêcher les intrus malveillants d'obtenir des informations utiles. Les développeurs de Claymore Mining n'ont pas encore répondu aux allégations de cybersécurité.
Mais l'un des développeurs de Satori a ajouté un message avec le contenu suivant: «Ne vous inquiétez pas pour ce bot, il n'effectue aucune action nuisible. Vous pouvez me contacter à curtain@riseup.net. " Une déclaration plutôt étrange, car le fait que le malware remplace les portefeuilles des mineurs par les portefeuilles de ses propres développeurs n'est clairement pas une action inoffensive.
Quant à Satori, il est loin d'être le seul "héritier" de Mirai. En octobre de l'année dernière, les chercheurs ont
annoncé qu'un
nouveau problème était apparu sur le Web - un autre malware puissant qui est devenu connu sous le nom de Reaper et IoTroop. Il trouve également des vulnérabilités dans les logiciels et le matériel des appareils "cloud", et les infecte, les transformant en zombies.