Ботнет Mirai начал майнить биткоины на DVR и видеокамерах

Сотрудники подразделения IBM X-Force обнаружили вариант трояна ELF Linux/Mirai ^[1], который оснащён новым модулем для майнинга биткоинов ^[2]. Как и раньше, троян с функциональностью червя ищет и заражает уязвимые приборы с операционной системой Linux, подключенные к Интернету — это цифровые видеомагнитофоны, телевизионные приставки, камеры видеонаблюдения, IP-камеры и маршрутизаторы.

Майнинг биткоинов — новая, но вполне ожидаемая функция ботнета, который раньше использовался только для DDoS-атак. Однако для проведения прибыльной DDoS-атаки нужно найти заказчика или подходящую жертву, которая согласится заплатить деньги за прекращение атаки (услуга позиционируется как консалтинг в области информационной безопасности, защита от DDoS, можно заключить договор). Поиск клиентов и жертв для атаки — постоянная работа, которая отнимает много времени. С другой стороны, майнинг биткоинов даёт постоянный пассивный доход и не требует никаких усилий.

Вряд ли злоумышленники заработают много денег на майнинге. Даже сотни тысяч телеприставок и камер наблюдения не способны обсчитать сколько-нибудь значительное количество хешей. Владельцы ботнета заработают считанные сатоши. Но даже несколько сатоши — это лучше, чем ничего, ведь ботнет всё равно простаивает.

На устройствах Интернета веще хешрейт просто смехотворный. Его даже никто не измерял. Известно, что на процессорах Cortex-A8 хешрейт составлят 0,12–0,2 Мхеша/с, а на Cortex-A9 — 0,57 Мхеша/с. На большинстве телеприставок стоят процессоры послабее.

Напомним, что червь и ботнет Mirai наделали немало шуму в сентябре-октябре 2016 года. За счёт того, что червь автоматически перебирал стандартные комбинации логин-пароль ^[3], он сумел распространиться на сотни тысяч устройств (камеры безопасности, маршрутизаторы, цифровые телеприставки и DVR), с которых организовал несколько DDoS-атак. Мощность этих атак намного превышала возможности стандартных ботнетов из ПК, потому что обычные компьютеры гораздо сложнее инфицировать в таком количестве.

Одной из первых жертв ботнета Mirai в сентябре прошлого года стал журналист Брайан Кребс, который специализируется на темах информационной безопасности и деанонимизации хакеров. Трафик на его провайдера в пике достиг 665 Гбит/с ^[4], что стало одной из самых мощных DDoS-атак в истории Интернета. Брайану пришлось перевести сайт в офлайн, потому что компания Akamai вывела сайт из под DDoS-защиты, чтобы не подвергать риску других своих клиентов.

В сентябре-октябре 2016 года ботнет использовался для атаки на французского хостинг-провайдера ^[5] OVH и для мощной DDoS-атаки на компанию Dyn ^[6], которая предоставляет сетевую инфраструктуру и обслуживание DNS для ключевых американских организаций. В этом случае поток мусорных запросов с десятков миллионов IP-адресов составлял около 1 Тбит/с. У пользователей по всему миру наблюдались проблемы с доступом к сайтам Twitter, Amazon, Tumblr, Reddit, Spotify и Netflix и другим. Фактически, ботнет Mirai временно «положил» небольшой сегмент американского Интернета.

В ноябре новый вариант Mirai атаковал несколько моделей маршрутизаторов Zyxel и Speedport ^[7] у пользователей немецкого интернет-провайдера Deutsche Telekom. Как показало расследование «Лаборатории Касперского», доработанный вариант червя в этом случае использовал новый способ распространения — через специализированный протокол TR-064, который используется провайдерами для удаленного управления пользовательскими устройствами. В том случае, если интерфейс управления (на порте 7547) доступен снаружи, появляется возможность либо загрузить и выполнить на устройстве произвольный код, либо сделать то же самое, но через стадию открытия доступа к традиционному веб-интерфейсу.

Веб-консоль дроппера Mirai. Скриншот: IBM X-Force

В сентябре-октябре 2016 года между хакерами развернулась настоящая война ^[8] за контроль над ботнетом Mirai после того как в коде червя была обнаружена уязвимость ^[9]. Хотя Брайан Кребс в конце концов сумел деанонимизировать ^[10] авторов первоначальной версии Mirai, но весьма вероятно, что сейчас контроль над ботнетом принадлежит другим хакерам — одной или нескольким группировкам.

Новая версия Mirai со встроенный майнером, вероятно, принадлежит одной из тех группировок, которые борются за контроль над ботнетом. Активность этой версии зловреда была отмечена в течение нескольких дней в конце марта.

Как сообщается, червь распространяется прежними методами: сканируя адресное пространство в поисках новых устройств, которые работают по Telnet (порт 23), и подбирая пароли к ним. Опасности подвержены устройства под Linux со всеми версиями BusyBox и DVRHelper, если на них установлены стандартные пароли.

Автор: alizar

Источник ^[11]