Linux jednak nie taki bezpieczny. Nowe złośliwe oprogramowanie Mirai infekuje urządzenia w celu utworzenia botnetu
Nie musieliśmy długo czekać na rozwój sytuacji związanej z malware o nazwie Mirai. Od 2016 roku to złośliwe oprogramowanie zdołało wyrządzić sporo szkód. Wspomnieć można choćby o ataku DDoS, który został dzięki niemu przeprowadzony i był jednym z największych w historii. Serwisy takie jak GitHub, Twitter, Reddit, Netflix, Airbnb oraz inne, nie były osiągalne. Sporo się jednak zmieniło i wirus powrócił w nowej odmianie.
Wykryto nową wersję botnetu Mirai określanego jako "V3G4" na serwerach i urządzeniach z systemem Linux. Wykorzystanych zostało 13 luk w oprogramowaniu, żeby po infekcji przeprowadzać ataki DDoS.
W ten weekend padł historyczny rekord dotyczący ataków DDoS. Poprzeczka została ustawiona wyżej niż kiedykolwiek
Wirus został stworzony przez dwoje młodych ludzi - Parasa Jha (21 lat) oraz Josiaha White'a (20 lat). Na wyniki ich "pracy" nie trzeba było długo czekać. Z czasem, gdy sprawy zaczęły nabierać tempa i wirus stał się bardziej "medialny", do akcji wkroczyło FBI. Cały kod został wtedy umieszczony w serwisie GitHub, żeby był dostępny dla każdego. Od tamtego czasu powstało sporo mutacji kodu i jak się okazało, do dziś wirus nadal pozostaje aktywny. Sposób działania obecnego wariantu jest dość prosty. Poprzez metodę brute-force wykonywany jest atak wykorzystujący słabe bądź domyślne dane uwierzytelniające telnet/SSH lub luki w oprogramowaniu. Kiedy urządzenie zostanie zainfekowane, wyszukiwane są inne możliwe sprzęty do infekcji i całość rozprzestrzenia się dalej. Oczywiście do osoby atakującej wysyłane są informacje, że urządzenie jest dostępne, więc może on zdalnie wykonywać określone polecenia. Każdy zainfekowany sprzęt staje się jak zombie i tworzy tzw. botnet czekający na rozkazy.
Proton Drive od teraz daje każdemu szansę zabezpieczenia plików na zaszyfrowanym dysku w chmurze
Gdyby nasze urządzenie było zainfekowane, odczulibyśmy jednie spowolnione działanie lub zwiększone zużycie energii. Wracając jednak do ataku - zainfekowane urządzenia charakteryzowały się tym, że starały się połączyć z "zakodowanym na stałe adresem C2". Największy wyróżnik nowego wariantu V3G4 jest taki, że zamiast jednego klucza szyfrowania XOR, korzysta aż z czterech. Dzięki temu dużo ciężej go unieszkodliwić. Palo Alto Networks w swoich badaniach trzy razy zdołali wykryć nowy Mirai. Sądzą oni, że wszystkie ataki pochodzą od tej samej osoby, ponieważ sposób działania jest praktycznie identyczny. Atak zaczynał się od wykorzystania którejś z trzynastu różnych luk w oprogramowaniu. Natomiast później wszystkie urządzenia, które były w pełni gotowe do działania, wykorzystywane zostawały do ataków DDoS. Wykorzystane luki obejmowały:
- CVE-2012-4869: FreePBX Elastix remote command execution
- Gitorious remote command execution
- CVE-2014-9727: FRITZ!Box Webcam remote command execution
- Mitel AWC remote command execution
- CVE-2017-5173: Geutebruck IP Cameras remote command execution
- CVE-2019-15107: Webmin command injection
- Spree Commerce arbitrary command execution
- FLIR Thermal Camera remote command execution
- CVE-2020-8515: DrayTek Vigor remote command execution
- CVE-2020-15415: DrayTek Vigor remote command execution
- CVE-2022-36267: Airspan AirSpot remote command execution
- CVE-2022-26134: Atlassian Confluence remote command execution
- CVE-2022-4257: C-Data Web Management System command injection