Os funcionários da divisão IBM X-Force
descobriram a variante ELF Linux / Mirai Trojan , que é equipada com um novo
módulo para mineração de bitcoins . Como antes, o Trojan, com a funcionalidade do worm, procura e infecta dispositivos vulneráveis com o sistema operacional Linux conectado à Internet - são gravadores de vídeo digital (DVRs), decodificadores de televisão, câmeras de vigilância por vídeo, câmeras IP e roteadores.
A mineração de Bitcoin é um recurso novo, mas bastante esperado, de botnet, usado anteriormente apenas para ataques DDoS. No entanto, para conduzir um ataque DDoS lucrativo, você precisa encontrar um cliente ou uma vítima adequada que aceite pagar para interromper o ataque (o serviço é posicionado como consultoria no campo da segurança da informação, proteção contra DDoS, é possível concluir um contrato). Encontrar clientes e vítimas para um ataque é um trabalho constante e demorado. Por outro lado, a mineração de bitcoins fornece uma renda passiva constante e não requer nenhum esforço.
É improvável que os atacantes ganhem muito dinheiro com a mineração. Mesmo centenas de milhares de decodificadores e câmeras de vigilância não conseguem calcular uma quantidade significativa de hashes. Os proprietários de botnet ganharão alguns satoshi. Mas até alguns satoshi são melhores que nada, porque a botnet ainda está ociosa.
Nos dispositivos da Internet, a taxa de hash é simplesmente ridícula. Ninguém nem mediu. Sabe-se que nos processadores Cortex-A8 o hashrate é de 0,12 a 0,2 Mheshes / s, e no Cortex-A9 é de 0,57 Mhesha / s. A maioria dos decodificadores possui processadores mais fracos.
Lembre-se de que o worm Mirai e a botnet fizeram muito barulho entre setembro e outubro de 2016. Devido ao fato de o worm classificar automaticamente através
de combinações padrão de senha de login , ele conseguiu se espalhar para centenas de milhares de dispositivos (câmeras de segurança, roteadores, decodificadores digitais e DVRs), a partir dos quais organizou vários ataques DDoS. O poder desses ataques excedeu em muito os recursos das redes de bots padrão para computadores, porque os computadores comuns são muito mais difíceis de infectar em tais números.
Uma das primeiras vítimas da botnet Mirai em setembro passado foi o jornalista Brian Krebs, especialista em segurança da informação e desanonimização de hackers. O tráfego em seu provedor no pico
atingiu 665 Gbps , que se tornou um dos ataques DDoS mais poderosos da história da Internet. Brian teve que deixar o site offline porque a Akamai retirou o site da proteção contra DDoS para não colocar outros clientes em risco.
Em setembro e outubro de 2016, a botnet foi usada para atacar o provedor de hospedagem francês OVH e para um
poderoso ataque DDoS à empresa Dyn , que fornece infraestrutura de rede e serviços DNS para as principais organizações dos EUA. Nesse caso, o fluxo de solicitações de lixo de dezenas de milhões de endereços IP foi de cerca de 1 Tbit / s. Usuários de todo o mundo tiveram problemas para acessar o Twitter, Amazon, Tumblr, Reddit, Spotify e Netflix e outros. De fato, o botnet Mirai "estabeleceu" temporariamente um pequeno segmento da Internet americana.
Em novembro, uma nova versão do Mirai
atacou vários modelos de roteadores Zyxel e Speedport de usuários do provedor de Internet alemão Deutsche Telekom. Como uma investigação da Kaspersky Lab mostrou, a versão modificada do worm, neste caso, usou um novo método de distribuição - por meio do protocolo especializado TR-064, usado pelos fornecedores para controlar remotamente os dispositivos dos usuários. No caso de a interface de controle (na porta 7547) estar acessível a partir do exterior, torna-se possível baixar e executar código arbitrário no dispositivo ou fazer o mesmo, mas através do estágio de abertura do acesso à interface da web tradicional.
Console da web do Mirai conta-gotas. Captura de tela: IBM X-ForceEntre setembro e outubro de 2016, uma
verdadeira guerra eclodiu entre hackers pelo controle da botnet Mirai após a descoberta de uma
vulnerabilidade no código do worm. Embora Brian Krebs finalmente tenha
conseguido desarmar os autores da versão original do Mirai, é muito provável que agora o controle sobre a botnet pertença a outros hackers - um ou mais grupos.
A nova versão do Mirai com um minerador embutido provavelmente pertence a um desses grupos que estão lutando pelo controle da botnet. A atividade desta versão do malware foi observada por vários dias no final de março.
O worm está se espalhando pelos métodos anteriores: varrendo o espaço de endereço em busca de novos dispositivos que funcionam via Telnet (porta 23) e selecionando senhas para eles. Os dispositivos Linux com todas as versões do BusyBox e DVRHelper correm risco se tiverem senhas padrão instaladas.