Μια νέα, εξελιγμένη, έκδοση του Miori Botnet έχει κάνει την εμφάνισή του, στην οποία έχουν προστεθεί επιπλέον μέτρα ασφάλειας από τους εγκληματίες του κυβερνοχώρου για την αποτελεσματικότερη δράση του, καθιστώντας παράλληλα δυσκολότερη την ανακοπή του.
Το login panel για την σύνδεση στον διακομιστή εντολών και ελέγχου (C&C Server) προστατεύεται πλέον με κωδικό πρόσβασης, ενώ ένα, όχι και τόσο φιλικό μήνυμα, εμφανίζεται κατά την απόπειρα συνδέσεων, που πιθανόν προέρχονται από ερευνητές ασφάλειας.
Το κακόβουλο λογισμικό αποτελεί μια παραλλαγή του Mirai Malware και η δράση του χρονολογείται τουλάχιστον από τα τέλη Μαΐου του περασμένου έτους. Ωστόσο έγινε ευρύτερα γνωστό προς τα τέλη του 2018, όπου αξιοποιήθηκε μια ευπάθεια εκτέλεσης απομακρυσμένου κώδικα στο ThinkPHP framework από τους εγκληματίες, οδηγώντας στην εύρυτερη διάδοσή του. Ο κώδικας εκμετάλλευσης είχε δημοσιοποιηθεί στο διαδίκτυο.
Στην προηγούμενη έκδοσή του, η επικοινωνία του Miori με τον εξυπηρετητή εντολών και ελέγχου βασιζόταν σε ένα δυαδικό πρωτόκολλο και το login panel του ήταν διαθέσιμο σε οποιονδήποτε γνώριζε τη διεύθυνση.
Οι φορείς εκμετάλλευσης άλλαξαν το πρωτόκολλο αυτό σε ένα text-based μοντέλο και εφάρμοσαν επιπλέον μέτρα προστασίας για τον τερματισμό κάθε απόπειρας σύνδεσης που δεν περιείχε ένα συγκεκριμένο string.
Φαίνεται ότι οι εγκληματίες του κυβερνοχώρου έχουν εξοικειωθεί με τον τρόπο με τον οποίο οι αναλυτές κακόβουλου λογισμικού κάνουν την έρευνά τους και πρόσθεσαν ένα μήνυμα γι ‘αυτούς, όταν συνδέονται στον C&C Server μέσω των συνήθων μεθόδων.
Η νέα παραλλαγή του Miori υποστηρίζει κρυπτογραφημένες εντολές και επιτρέπεται να συνδεθεί στον εξυπηρετητή εντολών μόνο μετά την αποστολή της απαιτούμενης συμβολοσειράς (string). Το Miori στοχεύει συσκευές IoT με SSH και Telnet services που βρίσκονται εκτεθειμένες στο web και προστατεύονται με ανασφαλείς κωδικούς πρόσβασης.
Η αποκρυπτογράφηση των εντολών από τον εισβολέα δεν είναι καθόλου περίπλοκη, καθώς το κακόβουλο λογισμικό βασίζεται σε ένα κρυπτογραφικό υποκατάστατο και ο πίνακας αλληλογραφίας είναι ενσωματωμένος.
Η διάδοσή του Miori αναμένεται να είναι ραγδαία, επισημαίνουν ερευνητές ασφάλειας, λαμβάνοντας υπόψη το γεγονός ότι οι φορείς που βρίσκονται πίσω από τη νέα παραλλαγή του Miori προσφέρουν τον πηγαίο κώδικα μόλις με $110 σε οποιονδήποτε διαθέσιμο αγοραστή.
