Prasmīgs hakeris izveido Windows robottīklu ļaunprogrammatūru Mirai izplatīšanai

Operētājsistēmā Windows izmantojamais izplatītājs ir bagātīgāks un spēcīgāks par sākotnējo Mirai pamatkodu, taču lielākā daļa jaunā izplatītāja komponentu, metožu un funkciju ir vairākus gadus vecas. Ļaunprogrammatūras Mirai iespējas ir ierobežotas: tā var piegādāt Mirai botus no inficēta Windows resursdatora uz ievainojamām Linux lietiskā interneta ierīcēm tikai tad, ja tā spēj ar pārlasi sekmīgi uzlauzt Telnet attālā savienojuma paroli.

Neraugoties uz šo ierobežojumu, kodu nepārprotami ir veidojis vairāk pieredzējis izstrādātājs, kurš, iespējams, nesen pievērsies Mirai. Artefakti, piemēram, valodas pavedieni programmatūrā, fakts, ka kods ir kompilēts ķīniešu sistēmā ar resursserveriem Taivānā, kā arī Ķīnas uzņēmumiem nozagtu koda parakstīšanas sertifikātu ļaunprātīga izmantošana, liecina, ka izstrādātājs varētu būt ķīniešu valodas pratējs.

«Mirai pārejas parādīšanās starp Linux un Windows platformu, kā arī pieredzējušāku izstrādātāju iesaistīšanās rada nopietnas bažas. Banku Trojas zirga Zeus pirmkoda publicēšana 2011. gadā tiešsaistes sabiedrībai sagādāja problēmas gadiem ilgi, un Mirai lietiskā interneta bota pirmkoda publicēšana 2016. gadā izdarīs to pašu attiecībā uz internetu. Brīvi pieejamo Mirai kodu sāk izmantot pieredzējušāki uzbrucēji ar izsmalcinātākām prasmēm un paņēmieniem. Windows robottīkls, kas izplata lietiskā interneta Mirai botus, ir jauns līmenis, kas ļauj izplatīt Mirai pilnīgi citās ierīcēs un tīklos, kas Mirai operatoriem agrāk nebija pieejami. Tas ir tikai sākums,» sacīja Kaspersky Lab galvenais drošības pētnieks Kurts Baumgartners.

Saskaņā ar Kaspersky Lab telemetrijas datiem šis Windows bots 2017. gadā ir uzbrucis gandrīz 500 unikālām sistēmām, ieskaitot atklātos un bloķētos mēģinājumus.

Pamatojoties uz uzbrukuma otrajā posmā iesaistīto IP adrešu atrašanās vietas noteikšanu, uzbrukumiem visvairāk pakļautās valstis ir jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās, piemēram, Indija, Vjetnama, Saūda Arābija, Ķīna, Irāna, Brazīlija, Maroka, Turcija, Malāvija, Apvienotie Arābu Emirāti, Pakistāna, Tunisija, Krievija, Moldova, Venecuēla, Filipīnas, Kolumbija, Rumānija, Peru, Ēģipte un Bangladeša.

Kaspersky Lab sadarbojas ar datorapdraudējumu reaģēšanas vienībām, mitināšanas pakalpojumu sniedzējiem un tīkla operatoriem, lai novērstu šo pieaugošo apdraudējumu interneta infrastruktūrai, pārtraucot ievērojama skaita komandvadības serveru darbību. Ātra un sekmīga šo serveru darbības izbeigšana samazina briesmas un traucējumus, ko rada strauji augošie robottīkli lietiskajā internetā. Kaspersky Lab var likt lietā savu pieredzi un saikni ardatorapdraudējumu reaģēšanas vienībām un pakalpojumu sniedzējiem visā pasaulē, tāpēc spēj palīdzēt paātrināt likvidācijas procesu.

Kaspersky Lab izstrādājumi atklāj Windows un Mirai botus un aizsargā no tiem. Uz šo pētījumu attiecas šie verdikti:

Trojan.Win32.SelfDel.ehlq

Trojan.Win32.Agentb.btlt

Trojan.Win32.Agentb.budb

Trojan.Win32.Zapchast.ajbs

Trojan.BAT.Starter.hj

Trojan-PSW.Win32.Agent.lsmj

Trojan-Downloader.Win32.Agent.hesn

Trojan-Downloader.Win32.Agent.silgjn

Backdoor.Win32.Agent.dpeu

HEUR:Trojan-Downloader.Linux.Gafgyt.b

DangerousPattern.Multi.Generic (UDS)