מעבדת קספרסקי: האקרים משתמשים במערכת חלונות להפצת הבוטנט Mirai
עמי רוחקס דומבה
| 22/02/2017
מקור: קספרסקי
חוקרי מעבדת קספרסקי ניתחו את הקוד הזדוני הראשון להפצת הבוטנט Mirai דרך מערכת חלונות, כחלק ממאמץ מרוכז להפיל בוטנטים של Mirai ברחבי העולם. מהניתוח עולה כי הבוט לחלונות נוצר על ידי מפתח עם יכולות מתקדמות יותר מאשר התוקפים שיזמו את מתקפות ה- DDoS העצומות מסוף 2016 אשר התבססו על Mirai. כותבי הקוד הזדוני הם ככל הנראה דוברי סינית. בנתוני מעבדת קספרסקי נרשמו התקפות על 500 מערכות שונות במהלך 2017 – בעיקר במדינות מתפתחות, שהשקיעו רבות בטכנולוגיות מרושתות.
הקוד הזדוני להפצת Mirai למערכת חלונות הוא מתוחכם ועמיד יותר מאשר הקוד הבסיסי המקורי של Mirai, אבל רוב הרכיבים, הטכניקות והיכולות של הקוד החדש הם כבר בני מספר שנים. עם זאת, שיטת העבודה של הקוד הזדוני מוגבלת: הקוד יכול להחדיר את הבוטים של Mirai ממערכת חלונות נגועה אל מכשיר IoT מבוסס לינוקס, רק אם הוא מסוגל לבצע פריצת-כח (brute-force) אל חיבור טלנט מרוחק.
על אף המגבלות שלו, נראה בבירור כי הקוד הוא תוצר של מפתח מנוסה יותר, למרות שכנראה מדובר בשחקן חדש בעולם של Mirai. ממצאים כגון שאריות של שפה בתוכנה, העובדה כי הקוד עבר קומפילציה על מערכת סינית, ושרתי אירוח המוחזקים בטאיוון, מצביעים על כך כי המפתח הוא כנראה דובר סינית.
"התנועה בין פלטפורמת לינוקס לחלונות מהווה דאגה ממשית, כמו גם הכניסה של מפתחים מנוסים יותר לזירה. פרסום קוד המקור של הטרויאני לבנקאות Zeus, בשנת 2011, הביא אחריו שנים של בעיות לקהילה המקוונת. פרסום קוד המקור של Mirai IoT bot ב- 20166, כנראה יעשה את אותו הדבר. תוקפים מנוסים יותר, שמביאים עימם רמות גבוהות יותר של יכולות וטכניקות מתוחכמות, מתחילים למנף את זמינות הקוד של Mirai. יצירת בוטנט של חלונות מאפשרת את ההפצה של Mirai למכשירים ורשתות חדשים שבעבר לא היו זמינים למפעילי Mirai. זו רק ההתחלה", אמר קורט באוגרטנר, חוקר אבטחה ראשי, מעבדת קספרסקי.
על פי נתוני מעבדת קספרסקי, כמעט 500 מערכות שונות הותקפו ב- 2017 על ידי הבוט החדש לחלונות, כשהניסיונות אותרו ונחסמו.
בהתבסס על המיקום הגיאוגרפי של כתובות IP שהופיעו בגל השני של ההתקפה, המטרות המרכזיות נמצאות בשווקים מתפתחים שהשקיעו רבות בטכנולוגיות רשת, כגון הודו, וייטנאם, ערב הסעודית, סין, אירן, ברזיל, מרוקו, טורקיה, מלאווי, איחוד האמירויות, פקיסטן, תוניסיה, רוסיה, מולדובה, ונצואלה, הפיליפינים, קולומביה, רומניה, פרו, מצרים ובנגלדש.
מעבדת קספרסקי עובדת עם צוותי CERT, ספקי אירוח ומפעילי רשתות, כדי לטפל באיום הגובר על תשתית האינטרנט באמצעות הפלת מספר גדול של שרתי פיקוד ושליטה. ההפלה המהירה והמוצלחת של שרתים אלה ממזערת את האיום של בוטנטים מבוססי IoT אשר צומחים במהירות.
מידע נוסף אפשר לקרוא בדוח המלא ב-Securelist.com
מקור: קספרסקי
חוקרי מעבדת קספרסקי ניתחו את הקוד הזדוני הראשון להפצת הבוטנט Mirai דרך מערכת חלונות, כחלק ממאמץ מרוכז להפיל בוטנטים של Mirai ברחבי העולם. מהניתוח עולה כי הבוט לחלונות נוצר על ידי מפתח עם יכולות מתקדמות יותר מאשר התוקפים שיזמו את מתקפות ה- DDoS העצומות מסוף 2016 אשר התבססו על Mirai. כותבי הקוד הזדוני הם ככל הנראה דוברי סינית. בנתוני מעבדת קספרסקי נרשמו התקפות על 500 מערכות שונות במהלך 2017 – בעיקר במדינות מתפתחות, שהשקיעו רבות בטכנולוגיות מרושתות.
הקוד הזדוני להפצת Mirai למערכת חלונות הוא מתוחכם ועמיד יותר מאשר הקוד הבסיסי המקורי של Mirai, אבל רוב הרכיבים, הטכניקות והיכולות של הקוד החדש הם כבר בני מספר שנים. עם זאת, שיטת העבודה של הקוד הזדוני מוגבלת: הקוד יכול להחדיר את הבוטים של Mirai ממערכת חלונות נגועה אל מכשיר IoT מבוסס לינוקס, רק אם הוא מסוגל לבצע פריצת-כח (brute-force) אל חיבור טלנט מרוחק.
על אף המגבלות שלו, נראה בבירור כי הקוד הוא תוצר של מפתח מנוסה יותר, למרות שכנראה מדובר בשחקן חדש בעולם של Mirai. ממצאים כגון שאריות של שפה בתוכנה, העובדה כי הקוד עבר קומפילציה על מערכת סינית, ושרתי אירוח המוחזקים בטאיוון, מצביעים על כך כי המפתח הוא כנראה דובר סינית.
"התנועה בין פלטפורמת לינוקס לחלונות מהווה דאגה ממשית, כמו גם הכניסה של מפתחים מנוסים יותר לזירה. פרסום קוד המקור של הטרויאני לבנקאות Zeus, בשנת 2011, הביא אחריו שנים של בעיות לקהילה המקוונת. פרסום קוד המקור של Mirai IoT bot ב- 20166, כנראה יעשה את אותו הדבר. תוקפים מנוסים יותר, שמביאים עימם רמות גבוהות יותר של יכולות וטכניקות מתוחכמות, מתחילים למנף את זמינות הקוד של Mirai. יצירת בוטנט של חלונות מאפשרת את ההפצה של Mirai למכשירים ורשתות חדשים שבעבר לא היו זמינים למפעילי Mirai. זו רק ההתחלה", אמר קורט באוגרטנר, חוקר אבטחה ראשי, מעבדת קספרסקי.
על פי נתוני מעבדת קספרסקי, כמעט 500 מערכות שונות הותקפו ב- 2017 על ידי הבוט החדש לחלונות, כשהניסיונות אותרו ונחסמו.
בהתבסס על המיקום הגיאוגרפי של כתובות IP שהופיעו בגל השני של ההתקפה, המטרות המרכזיות נמצאות בשווקים מתפתחים שהשקיעו רבות בטכנולוגיות רשת, כגון הודו, וייטנאם, ערב הסעודית, סין, אירן, ברזיל, מרוקו, טורקיה, מלאווי, איחוד האמירויות, פקיסטן, תוניסיה, רוסיה, מולדובה, ונצואלה, הפיליפינים, קולומביה, רומניה, פרו, מצרים ובנגלדש.
מעבדת קספרסקי עובדת עם צוותי CERT, ספקי אירוח ומפעילי רשתות, כדי לטפל באיום הגובר על תשתית האינטרנט באמצעות הפלת מספר גדול של שרתי פיקוד ושליטה. ההפלה המהירה והמוצלחת של שרתים אלה ממזערת את האיום של בוטנטים מבוססי IoT אשר צומחים במהירות.
מידע נוסף אפשר לקרוא בדוח המלא ב-Securelist.com
