Skrevet af Charlie Osborne, Bidragyder Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi udgivet i Zero Day den 25. januar 2022 | Emne: Sikkerhed
Botnets bygget ud fra Mirai-kodebasen fortsætter med at skabe kaos på den teknologiske arena, hvor cyberangribere drager fordel af slap Internet of Things (IoT) sikkerhed i udbredte angreb.
Computere og andre tilsluttede enheder, inklusive IoT- og NAS-lager, er kompromitteret på grund af svage legitimationsoplysninger, sårbarheder, udnyttelsessæt og andre sikkerhedssvagheder.
Disse systemer tilslutter sig et netværk af slaveenheder, der kan kommanderes til at udføre ondsindede aktiviteter.
Angrebstyper, der almindeligvis forbindes med botnets, er lanceringen af DDoS-angreb (Distributed Denial-of-Service), brute-force-angreb, der fører til informationstyveri og udrulning af ransomware, og den skjulte installation af cryptocurrency-minesoftware på sårbare, internetvendte servere.
Den mest kendte er måske Mirai, som fik sin debut med katastrofale DDoS-angreb i 2016 mod DNS-udbyderen Dyn og webstedet for cybersikkerhedseksperten & reporter Brian Krebs.
Mirais kildekode blev derefter frigivet online, hvilket åbnede en mulighed for at skabe varianter, herunder Okiru, Satori og Masuta.
På trods af det originale botnets alder betyder koden, der understøtter netværket og brugen af dets kode i muterede versioner, at Mirai stadig er en risiko for organisationer i dag.
Tirsdag offentliggjorde Intel 471 en ny rapport om Mirais opdeling i nye former og en rapporteret stigning i angreb i løbet af 2020 og 2021 mod IoT-enheder, der bruger disse botnet-variationer.
“Trusselsaktører greb muligheden for ikke kun at skabe store botnets, men også stjæle fortrolige data fra IoT-enheder knyttet til kompromitterede organisationer og potentielt sælge dem på underjordiske markedspladser,” siger forskerne.
Da antallet af IoT-enheder forventes at nå op på cirka 30,9 milliarder i 2025, forventer teamet, at truslen – og den overordnede kraft – fra botnet kun vil fortsætte med at udvide sig.
På nuværende tidspunkt bliver Gafgyt og Mirai, sammen med flere botnet baseret på Mirai-kode, såsom BotenaGo, Echobot, Loli, Moonet og Mozi, brugt til at målrette mod enheder primært baseret i Europa og Nordamerika.
Trusselsaktører bruger almindeligvis nedenstående sårbarheder i udnyttelsessæt til at kompromittere IoT-enheder og øge deres netværks kraft:
CVE-2018-4068, CVE-2018-4070 og CVE-2018-4071: Informationslækager i Sierra Wireless AirLink (ES450 FW version 4.9.3) CVE-2019-12258, CVE-2019-12259, CVE-22629 og-2019 CVE-2019-12264: DoS-sårbarheder i Wind River Systems VxWorks RTOS CVE-2019-12255, CVE-2019-12260, CVE-2019-12261 og CVE-2019-12263: Hukommelseskorruption C2019-12260 28372: En autentificerings-omgå-fejl i ThroughTek Kalay P2P SDK (version 3.1.5 og tidligere) CVE-2021-31251: Et ukorrekt godkendelsesproblem i Chiyu Technology-firmware
“Den cyberkriminelle undergrund vil fortsætte med at bygge videre fra Mirai, målrettet hvert stykke udstyr, det kan, mens IoT-markedet fortsætter med at boome,” siger cybersikkerhedsfirmaet.
Intel 471 anbefaler, at organisationer implementerer IoT-enhedsovervågningsprocesser, udfører regelmæssige sikkerhedsaudits, rutinemæssigt ændrer legitimationsoplysninger og nøgler og opretholder regelmæssige patch-applikationscyklusser.
Tidligere og relateret dækning
Denne nye variant af Mirai botnet-malware er rettet mod netværkstilsluttede lagerenheder
Dette ransomware-spredningende malware-botnet vil bare ikke forsvinde
Abcbot botnet er knyttet til Xanthe cryptojacking group
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre