Karyawan divisi IBM X-Force
menemukan varian ELF Linux / Mirai Trojan , yang dilengkapi dengan
modul baru
untuk menambang bitcoin . Seperti sebelumnya, Trojan dengan fungsi worm mencari dan menginfeksi perangkat yang rentan dengan sistem operasi Linux yang terhubung ke Internet - ini adalah perekam video digital (DVR), set-top box televisi, kamera pengawas video, kamera IP dan router.
Penambangan Bitcoin adalah fitur botnet baru, tetapi sangat diharapkan yang sebelumnya hanya digunakan untuk serangan DDoS. Namun, untuk melakukan serangan DDoS yang menguntungkan, Anda perlu menemukan pelanggan atau korban yang cocok yang setuju untuk membayar uang untuk menghentikan serangan (layanan diposisikan sebagai konsultan di bidang keamanan informasi, perlindungan terhadap DDoS, Anda dapat menyimpulkan perjanjian). Mencari klien dan korban serangan adalah pekerjaan konstan yang menghabiskan waktu. Di sisi lain, menambang bitcoin memberikan pemasukan pasif konstan dan tidak memerlukan upaya apa pun.
Kecil kemungkinan penyerang akan menghasilkan banyak uang dari penambangan. Bahkan ratusan ribu set-top box dan kamera pengintai tidak dapat menghitung jumlah hash yang signifikan. Pemilik botnet akan mendapatkan beberapa satoshi. Tetapi bahkan beberapa satoshi lebih baik daripada tidak sama sekali, karena botnet masih menganggur.
Pada perangkat Internet, tingkat hash hanya konyol. Tidak ada yang mengukurnya. Diketahui bahwa pada prosesor Cortex-A8 hashrate adalah 0,12-0,2 Mheshes / dtk, dan pada Cortex-A9 adalah 0,57 Mhesha / dtk. Kebanyakan kotak set-top memiliki prosesor yang lebih lemah.
Ingatlah bahwa cacing dan botnet Mirai membuat banyak suara pada bulan September-Oktober 2016. Karena fakta bahwa worm secara otomatis disortir melalui
kombinasi login-password standar , worm ini berhasil menyebar ke ratusan ribu perangkat (kamera keamanan, router, set-top box digital dan DVR), dari mana ia mengatur beberapa serangan DDoS. Kekuatan serangan ini jauh melebihi kemampuan botnet PC standar, karena komputer biasa jauh lebih sulit untuk menginfeksi dalam jumlah seperti itu.
Salah satu korban pertama botnet Mirai September lalu adalah jurnalis Brian Krebs, yang berspesialisasi dalam keamanan informasi dan deanonimisasi peretas. Lalu lintas di penyedianya
mencapai puncaknya
mencapai 665 Gbps , yang menjadi salah satu serangan DDoS paling kuat dalam sejarah Internet. Brian harus mengambil situs offline karena Akamai telah mengambil situs dari perlindungan DDoS agar tidak menempatkan pelanggan lain dalam risiko.
Pada September-Oktober 2016, botnet digunakan untuk menyerang penyedia hosting Perancis OVH dan untuk
serangan DDoS yang kuat terhadap Dyn , yang menyediakan infrastruktur jaringan dan layanan DNS untuk organisasi-organisasi utama AS. Dalam hal ini, aliran permintaan sampah dari puluhan juta alamat IP sekitar 1 Tbit / s. Pengguna di seluruh dunia memiliki masalah dalam mengakses Twitter, Amazon, Tumblr, Reddit, Spotify dan Netflix, dan lainnya. Bahkan, botnet Mirai sementara "meletakkan" segmen kecil dari Internet Amerika.
Pada bulan November, versi baru Mirai
menyerang beberapa model router Zyxel dan Speedport dari pengguna penyedia internet Jerman, Deutsche Telekom. Seperti yang ditunjukkan oleh penyelidikan oleh Kaspersky Lab, versi cacing yang dimodifikasi dalam kasus ini menggunakan metode distribusi baru - melalui protokol khusus TR-064, yang digunakan oleh penyedia untuk mengontrol perangkat pengguna dari jarak jauh. Jika antarmuka kontrol (pada port 7547) dapat diakses dari luar, menjadi mungkin untuk mengunduh dan mengeksekusi kode arbitrer pada perangkat, atau melakukan hal yang sama, tetapi melalui tahap membuka akses ke antarmuka web tradisional.
Mirai dropper konsol web. Tangkapan layar: IBM X-ForcePada September-Oktober 2016, terjadi
perang nyata antara peretas untuk mengendalikan botnet Mirai setelah
kerentanan ditemukan dalam kode worm. Meskipun Brian Krebs akhirnya
berhasil mendanonimkan penulis dari versi asli Mirai, sangat mungkin bahwa sekarang kendali atas botnet adalah milik peretas lain - satu atau lebih kelompok.
Versi baru Mirai dengan penambang bawaan mungkin milik salah satu kelompok yang berjuang untuk menguasai botnet. Aktivitas versi malware ini dicatat selama beberapa hari pada akhir Maret.
Cacing ini dilaporkan menyebar dengan metode sebelumnya: memindai ruang alamat untuk mencari perangkat baru yang berfungsi melalui Telnet (port 23), dan memilih kata sandi untuknya. Perangkat Linux dengan semua versi BusyBox dan DVRHelper berisiko jika mereka memasang kata sandi standar.