Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi publicerad i Zero Day den 25 januari 2022 | Ämne: Säkerhet
Botnät byggda från Mirai-kodbasen fortsätter att skapa förödelse på teknikarenan, med cyberattackare som drar fördel av slappa Internet of Things (IoT)-säkerhet i utbredda attacker.
Datorer och andra anslutna enheter, inklusive IoT- och NAS-lagring, äventyras genom svaga referenser, sårbarheter, exploateringssatser och andra säkerhetsbrister.
Dessa system går med i ett nätverk av slavenheter som kan beordras att utföra skadliga aktiviteter.
Attacktyper som vanligtvis förknippas med botnät är lanseringen av DDoS-attacker (Distributed Denial-of-Service), brute-force-attacker som leder till informationsstöld och utplacering av ransomware, och hemlig installation av programvara för brytning av kryptovaluta på sårbara servrar som är vända mot internet.
Den mest kända är kanske Mirai, som gjorde sin debut med katastrofala DDoS-attacker 2016 mot DNS-leverantören Dyn och webbplatsen för cybersäkerhetsexperten & reporter Brian Krebs.
Mirais källkod släpptes sedan online, vilket öppnade en väg för varianter som kan skapas inklusive Okiru, Satori och Masuta.
Trots det ursprungliga botnätets ålder innebär koden som ligger till grund för nätverket och användningen av dess kod i muterade versioner att Mirai fortfarande är en risk för organisationer idag.
I tisdags publicerade Intel 471 en ny rapport om Mirais splittring till nya former och en rapporterad ökning av attacker under 2020 och 2021 mot IoT-enheter som använder dessa botnätvarianter.
“Hotaktörer tog tillfället i akt att inte bara skapa stora botnät, utan också stjäla konfidentiell data från IoT-enheter kopplade till komprometterade organisationer och potentiellt sälja den på underjordiska marknadsplatser”, säger forskarna.
Eftersom antalet IoT-enheter förväntas nå cirka 30,9 miljarder år 2025, förväntar sig teamet att hotet – och den övergripande kraften – från botnät bara kommer att fortsätta att expandera.
För närvarande används Gafgyt och Mirai, tillsammans med flera botnät baserade på Mirai-kod som BotenaGo, Echobot, Loli, Moonet och Mozi, för att rikta in sig på enheter som främst är baserade i Europa och Nordamerika.
Hotaktörer använder vanligtvis nedanstående sårbarheter i exploateringssatser för att äventyra IoT-enheter och öka kraften i sina nätverk:
CVE-2018-4068, CVE-2018-4070 och CVE-2018-4071: Informationsläckor i Sierra Wireless AirLink (ES450 FW version 4.9.3) CVE-2019-12258, CVE-2019-12259, CVE-22629 och-2019 CVE-2019-12264: DoS-sårbarheter i Wind River Systems VxWorks RTOS CVE-2019-12255, CVE-2019-12260, CVE-2019-12261 och CVE-2019-12263: Minneskorruption C2019-12260 28372: En bugg för förbikoppling av autentisering i ThroughTek Kalay P2P SDK (version 3.1.5 och tidigare) CVE-2021-31251: Ett felaktigt autentiseringsproblem i Chiyu Technologys firmware
“Den cyberkriminella underjorden kommer att fortsätta att bygga på Mirai, inriktad på varje utrustning den kan när IoT-marknaden fortsätter att växa, säger cybersäkerhetsföretaget.
Intel 471 rekommenderar att organisationer implementerar IoT-enhetsövervakningsprocesser, utför regelbundna säkerhetsrevisioner, rutinmässigt ändrar autentiseringsuppgifter och nycklar och underhåller regelbundna programcykler för patch.
Tidigare och relaterad täckning
Denna nya variant av Mirai botnet malware är inriktad på nätverksanslutna lagringsenheter
Detta ransomware-spridande skadlig botnät kommer bara inte att försvinna
Abcbot botnet är länkad till Xanthe cryptojacking group
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter