Nova IoT mreža botova preti da napravi sajber oluju

IoT_reaper mreža botova širi se brže nego Mirai botnet i potencijalno može da izazove veću štetu.

Nova IoT mreža botova preti da napravi sajber oluju

Od 19. septembra beleži se rapidan rast inficiranja ranjivih IoT uređaja i formiranje nove velike mreže botova koja preti da napravi sajber oluju. Novi botnet koristi deo koda Mirai botneta, ali se ne bavi otkrivanjem lozinki već se fokusira na eksploataciju ranjivih IoT uređaja.

Nova mreža botova (botnet), nazvana IoT_reaper ili IoTroop, se širi daleko brže nego u slučaju Mirai botneta i potencijalno može da izazove veću štetu. Recimo, na samo jednom C2 od nekoliko koje stručnjaci za sajber bezbednost prate, beleži se više od 10.000 jedinstvenih aktivnih bot IP adresa svakoga dana. Istovremeno, potencijalno više miliona ranjivih IoT uređaja „čeka“ da im automatski loader ubaci maliciozni kod i tako proširi mrežu botova.

Trenutno je IoT_reaper u ranoj fazi ekspanzije, ali autor konstantno modifikuje kod odnosno malver što mu omogućava da eksploatiše sve veći broj ranjivosti IoT uređaja proizvođača kao što su GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology, JAWS, Vacron itd. Brzo je postalo jasno da napadi dolaze iz velikog broja izvora i da ih izvršavaju različiti IoT uređaji što znači da već inficirani uređaji učestvuju u inficiranju novih, njima sličnih uređaja. To je tzv. napad umnožavanjem (eng. propagation attack).

Procenjuje se da su do sada inficirani uređaji u preko milion organizacija i da taj broj stalno raste. Trenutno je zatišje pred buru odnosno još uvek nije zabeležen nijedan DDoS napad i fokus je i dalje na širenju mreže botova.

Razlike u odnosu na Mirai Botnet

IoT_reaper je „pozajmio“ određene delove koda od Mirai botneta, ali između njih postoji nekoliko ključnih razlika: 1) IoT_reaper ne pokušava da „provali“ slabe lozinke već samo eksploatiše ranjive IoT uređaje. 2) Integrisan je LUA execution environment što znači da se mogu izvesti kompleksniji napadi. 3) Skeniranje nije agresivno tako da se može provući ispod radara.

Izvor: blog.netlab.360.com/checkpoint.com