Η Unit 42, η ερευνητική ομάδα απειλών της Palo Alto Networks, ανακάλυψε μια νέα κακόβουλη εκστρατεία που στοχεύει συσκευές IoT, χρησιμοποιώντας μια παραλλαγή του γνωστού Mirai botnet (IZ1H9). Πρόκειται για ένα malware που μετατρέπει συσκευές που τρέχουν Linux (συνήθως μικρές συσκευές IoT) σε bots που μπορούν να ελεγχθούν απομακρυσμένα και να χρησιμοποιηθούν σε μεγάλης κλίμακας επιθέσεις.
Η παραλλαγή ονομάζεται IZ1H9 και ανακαλύφθηκε για πρώτη φορά τον Αύγουστο του 2018. Από τότε έχει γίνει μια από τις πιο ενεργές παραλλαγές του Mirai.
Οι ερευνητές ανακάλυψαν στις 10 Απριλίου ένα νέο κύμα κακόβουλων εκστρατειών, από τον ίδιο παράγοντα απειλών, που χρησιμοποιούσαν την παραλλαγή IZ1H9. Αυτό γινόταν τουλάχιστον από τον Νοέμβριο του 2021.
Δείτε επίσης: Το Jimbos Protocol υπέστη μια επίθεση flash loan – κλάπηκαν $7.5 εκατ.
Η παραλλαγή του Mirai botnet, IZ1H9, αρχικά εξαπλώνεται μέσω των πρωτοκόλλων HTTP, SSH και Telnet.
Μόλις εγκατασταθεί σε μια συσκευή IoT, το IZ1H9 botnet client ελέγχει πρώτα το network portion της διεύθυνσης IP της μολυσμένης συσκευής (όπως κάνει και το πρωτότυπο Mirai). Ο client αποφεύγει την εκτέλεση για μια λίστα IP blocks, συμπεριλαμβανομένων κυβερνητικών δικτύων, παρόχων διαδικτύου και μεγάλων εταιρειών τεχνολογίας.
Στη συνέχεια κάνει ορατή την παρουσία του εκτυπώνοντας τη λέξη “darknet” στην κονσόλα.
“Το κακόβουλο λογισμικό περιέχει επίσης μια λειτουργία που διασφαλίζει ότι η συσκευή εκτελεί μόνο ένα instance αυτού του κακόβουλου λογισμικού. Εάν υπάρχει ήδη ένα botnet process, ο botnet client θα τερματίσει την τρέχουσα διαδικασία και θα ξεκινήσει μια νέα“, εξηγούν οι ερευνητές στην έκθεση που δημοσίευσαν.
Δείτε επίσης: RaidForums: Νέο hacking φόρουμ διαρρέει δεδομένα 478.000 μελών του
Ο botnet client περιέχει επίσης μια λίστα process names που ανήκουν σε άλλες παραλλαγές του Mirai και άλλες οικογένειες botnet malware. Το κακόβουλο λογισμικό ελέγχει τα process names που εκτελούνται στον μολυσμένο υπολογιστή για να τα τερματίσει.
Η παραλλαγή IZ1H9 προσπαθεί να συνδεθεί σε ένα hard-coded C2 address: 193.47.61[.]75.
Μόλις συνδεθεί, η παραλλαγή του Mirai botnet, IZ1H9, θα προετοιμάσει έναν κρυπτογραφημένο πίνακα συμβολοσειρών και θα ανακτήσει τις κρυπτογραφημένες συμβολοσειρές μέσω ενός index.
Χρησιμοποιεί ένα table key κατά τη διαδικασία του string decryption process: 0xBAADF00D. Για κάθε κρυπτογραφημένο χαρακτήρα, το κακόβουλο λογισμικό εκτελεί αποκρυπτογράφηση XOR με τα ακόλουθα bytewise operations: cipher_char ^ 0xBA ^ 0xAD ^ 0xF0 ^ 0x0D = plain_char.
Οι συσκευές IoT αποτελούν αγαπημένο στόχο των hackers και οι επιθέσεις απομακρυσμένης εκτέλεσης κώδικα εξακολουθούν να είναι οι πιο συνηθισμένες και πιο ανησυχητικές απειλές που επηρεάζουν τις συσκευές IoT και τους Linux servers.
Δείτε επίσης: Τράπεζα Θεμάτων: Το εύκολο αφήγημα για τους χάκερ δεν πείθει
“Οι ευπάθειες που χρησιμοποιούνται εδώ είναι λιγότερο περίπλοκες, αλλά αυτό δεν μειώνει τον αντίκτυπό τους, καθώς θα μπορούσαν να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα. Μόλις ο εισβολέας αποκτήσει τον έλεγχο μιας ευάλωτης συσκευής, μπορεί να συμπεριλάβει στο botnet του τις συσκευές που έχουν πρόσφατα παραβιαστεί. Αυτό του επιτρέπει να διεξάγει περαιτέρω επιθέσεις, όπως denial-of-service (DDoS). Για την καταπολέμηση αυτής της απειλής, συνιστάται ιδιαίτερα να εφαρμόζονται ενημερώσεις κώδικα όταν είναι δυνατόν“, κατέληξαν οι ερευνητές.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Unit42.
Πηγή: www.infosecurity-magazine.com