Satori adalah keluarga perangkat lunak berbahaya yang perwakilannya menginfeksi router, kamera pengintai, dan perangkat IoT lainnya. Tujuannya adalah pembentukan botnet, yang memungkinkan Anda untuk melakukan berbagai tugas - dari DDoS hingga yang lebih kompleks, seperti menambang. Tapi sekarang perwakilan baru dari keluarga ini telah muncul, yang tidak menambang apa pun, tetapi hanya mencuri koin yang sudah ditambang.
Pada 8 Januari, perwakilan dari perusahaan keamanan informasi Netlab 360 China menerbitkan laporan yang melaporkan deteksi malware yang merusak sistem penambangan. Versi baru Satori mengeksploitasi kerentanan di
Claymore Miner , menggantikan alamat dompet pemilik peralatan pertambangan dengan dompet penyusup.
Karena peralatan terus beroperasi secara normal, penambang mungkin tidak segera mendeteksi masalahnya. Tentu saja, setelah koin yang ditambang berhenti datang ke dompet, ini menarik perhatian. Tetapi dalam beberapa kasus, hari mungkin berlalu sampai masalah ini diperhatikan. Malware ini belum bisa disebut masif.
Dompet diketahui , dan berapa banyak uang yang ada juga diketahui. Selama ini, hanya dua koin Ethereum yang ditambang, sehingga pengembang worm (sejauh ini) tidak menerima pendapatan besar. Tetapi jika virus itu ternyata menular, arus keuangan dapat meningkat berkali-kali lipat. Saat ini, kinerja peralatan yang ditangkap oleh malware adalah sekitar 2,1 juta hash per detik. Kekuatan semacam itu dapat dikembangkan oleh 85 PC dengan kartu Radeon Rx 480 atau 1135 komputer dengan kartu GeForce GTX 560M.
Sejauh yang dapat dinilai, kinerja peralatan tidak tumbuh banyak, mungkin virus tidak menginfeksi perangkat baru, atau pemilik sistem dengan cepat menemukan masalah dan virus tidak dapat membentuk jaringan yang signifikan.
Perlu dicatat bahwa keluarga Satori adalah versi modifikasi dari botnet
Mirai , yang kode sumbernya baru saja dibagikan. Mirai mengendalikan perangkat IoT, dan pada tahun 2016 botnet ini mulai berkembang dengan sangat cepat, yang menyebabkan masalah yang cukup signifikan.
Sedangkan untuk Satori, kode perangkat lunak ini dimodifikasi secara signifikan. Worm itu sendiri tidak menginfeksi gadget dengan kata sandi default. Sebaliknya, malware menganalisis perangkat lunak perangkat untuk kerentanan. Jika ada yang ditemukan, perangkat menjadi terinfeksi. Pada awal Desember, Satori menginfeksi lebih dari 100 ribu perangkat, dan dalam waktu dekat skala botnet ini dapat tumbuh berkali-kali lipat.
Para peneliti dari Netlab 360 mengklaim bahwa versi baru Satori, dipertajam untuk cryptocurrency, muncul pada 8 Januari. Ini menganalisis perangkat untuk dua kerentanan IoT yang berbeda, ditambah menggunakan lubang pada perangkat lunak Claymore Mining, seperti yang disebutkan di atas.
Belum jelas bagaimana virus baru menginfeksi komputer menambang cryptocurrency. Setidaknya satu kerentanan di
Claymore Mining sekarang dikenal. Sejauh yang Anda mengerti, worm ini bekerja dengan port 3333 dengan pengaturan default (tanpa otentikasi).
Netlab 360 tidak menyediakan sejumlah besar data untuk mencegah penyusup jahat mendapatkan informasi yang berguna. Pengembang Claymore Mining belum menanggapi klaim keamanan cyber.
Tetapi salah satu pengembang Satori menambahkan pesan dengan konten berikut: โJangan khawatir tentang bot ini, itu tidak melakukan tindakan berbahaya. Anda dapat menghubungi saya di curtain@riseup.net. " Pernyataan yang agak aneh, karena fakta bahwa malware mengganti dompet penambang dengan dompet pengembangnya sendiri jelas bukan tindakan yang tidak berbahaya.
Sedangkan untuk Satori, ini jauh dari satu-satunya "pewaris" Mirai. Pada Oktober tahun lalu, para peneliti
mengumumkan bahwa
masalah baru telah muncul di Web - malware lain yang kuat yang dikenal sebagai Reaper dan IoTroop. Dia juga menemukan kerentanan dalam perangkat lunak dan perangkat keras perangkat "cloud", dan menginfeksi mereka, mengubahnya menjadi zombie.