Το Mirai είναι ένα από τα πιο διάσημα κακόβουλα λογισμικά, που στοχεύει IoT συσκευές, όπως IP κάμερες και οι DVRs. Στόχος είναι η απόκτηση του πλήρους ελέγχου αυτών των συσκευών. Το malware εκμεταλλεύεται ευάλωτες θύρες, προεπιλεγμένα credentials και διάφορες ευπάθειες. Στη συνέχεια, προσθέτει τις συσκευές σε ένα botnet δίκτυο.
Στην τωρινή επίθεση, οι ερευνητές βρήκαν ότι οι hackers έχουν τοποθετήσει έναν cοmmand and control (C & C) server στο δίκτυο Tor. Αυτό δεν το είχαν δει σε καμία από τις προηγούμενες εκδόσεις του Mirai.
Η χρήση του Tor βοηθά στην αποφυγή της ανίχνευσης.
Ένας ερευνητής της Trend Micro ανακάλυψε ένα δείγμα με τέσσερις C & C servers με 30 hard-coded IP διευθύνσεις. Το δείγμα απομονώθηκε από τους ερευνητές σε ένα sandbox περιβάλλον και μελετήθηκε.
Οι ερευνητές μετά την μελέτη τους επιβεβαίωσαν ότι οι hackers όντως χρησιμοποίησαν το Tor δίκτυο.
Διαδικασία μόλυνσης
Η νέα έκδοση του Mirai σαρώνει τις TCP θύρες 9527 και 34567 με σκοπό να βρει μη προστατευμένες IP κάμερες και DVRs, ώστε να αποκτήσουν οι hackers απομακρυσμένη πρόσβαση στις συσκευές.
Μετά τη σάρωση, οι hackers χρησιμοποιούν συνηθισμένους ή προεπιλεγμένους κωδικούς πρόσβασης για να αποκτήσουν πρόσβαση στις μολυσμένες συσκευές.
Οι ερευνητές από την Trend Micro ανακάλυψαν μια εντολή DdoS, που είχε σταλεί από τον C & C server μέσω μιας UDP flood επίθεσης σε μια συγκεκριμένη διεύθυνση IP.
Οι εισβολείς αποφάσισαν να τοποθετήσουν τον C & C server στο Tor για να αποφύγουν την παρακολούθηση της διεύθυνσης IP τους.
Οι ερευνητές ανακάλυψαν και έναν άλλο server διανομής. Απ’ ότι φαίνεται, οι hackers σχεδίασαν τη νέα έκδοση του Mirai με σκοπό να επιτεθούν σε πολλά δίκτυα. Οι ειδικοί συνιστούν στους απλούς χρήστες και τις επιχειρήσεις να ενημερώσουν τα συστήματα και τις συσκευές τους με τα πιο πρόσφατα patches. Επίσης, πρέπει να αλλάξουν τα προεπιλεγμένα credentials και να τα αντικαταστήσουν με πιο σύνθετους και ισχυρούς κωδικούς πρόσβασης και να εφαρμόσουν πολλαπλά συστήματα ελέγχου ταυτότητας για να αποφύγουν τέτοιου είδους επιθέσεις.
