Mirai, сумно відома армія Інтернету речей, тепер може майнити Bitcoin

Пам’ятаєте той ботнет Інтернету речей? ONE, відомий тим, що минулої осені тимчасово закрив низку найбільших веб-сайтів світу?

Що ж, була виявлена ​​новіша версія, але вона не тільки здатна здійснювати DDoS-атаки тощо, але й обладнана для видобутку Bitcoin.

У цифрову епоху хакери можуть заразити та взяти під контроль незахищені пристрої Інтернету речей (IoT), скажімо, тостери, камери чи інші пристрої, підключені до Інтернету. Потім вони можуть об’єднати їх разом у ботнет, використовуючи їхні сумісні можливості для викиду спаму на веб-сайти чи інтернет-структури, уповільнюючи їх або надсилаючи в автономний режим.

Це сталося в серії атак восени з використанням шкідливого програмного забезпечення під назвою Mirai.

Програмне забезпечення було з відкритим кодом незабаром після цього – на превеликий розчарування інженерів із безпеки – і з того часу з’явилися різні штамми, що повторювали першу версію ботнету з додатковими можливостями.

Згідно з дослідженням IBM X-Force, відділу досліджень кібербезпеки Big Blue, ONE штам, відомий як ELF Linux/Mirai, протягом кількох днів був виявлений у майнінгу Bitcoin . Схоже, якийсь невідомий хакер (або хакери) експериментує з використанням енергії, накопиченої пристроями IoT, для видобутку цифрової валюти та, можливо, заробітку.

Дейв МакМіллен, старший дослідник загроз IBM Managed Security Services і автор звіту, вважає, що це може бути ознакою майбутніх випадків використання ботнетів IoT.

МакМіллен сказав CoinDesk:

«Цей варіант ELF/Mirai може бути привабливим для інших у майбутньому через потенційно великий обсяг пристроїв, які можуть бути задіяні».

Проте дослідник зазначив, що ботнет T міг успішно видобувати Bitcoin. Команда безпеки розглядає це скоріше як погляд на непередбачену можливість.

Майнінг

Отже, що трапилося і як IBM помітила майнінговий компонент ботнету?

Макміллен пояснив, кажучи:

«Ми виявили сплеск активності ін’єкцій команд у даних клієнтського середовища, що відстежуються IBM X-Force, що спонукало до більш глибокого дослідження».

Команда безпеки помітила трафік, пов’язаний із 64- BIT двійковим файлом ELF, який у звіті описується як «спалах», обсяг якого зріс на 50%, але припинився на восьмий день.

Команда «проаналізувала» двійковий файл, щоб виявити, що версія зловмисного програмного забезпечення для Linux схожа на типовішу версію для Windows.

«Це було виявлено як підлеглий майнер кількома інструментами, однак ми все ще досліджуємо інші властивості варіанту», — додав Макміллен.

Хоча зараз існує багато варіантів ботнету, ELF Linux/Mirai має додаткові можливості, оскільки він може виконувати «SQL-ін’єкцію» (сумнозвісний спосіб взяти під контроль бази даних) і виконувати так звані атаки «грубою силою».

Але у версії Linux є додаткове доповнення – компонент Bitcoin майнер (який ви можете побачити в Інтернеті тут).

Майбутня загроза?

У звіті IBM припускає, що творці ботнету, можливо, шукають спосіб зробити видобуток Bitcoin за допомогою скомпрометованих пристроїв IoT прибутковим підприємством.

«Усвідомлюючи силу Mirai заражати тисячі машин одночасно, існує ймовірність того, що Bitcoin майнери можуть працювати разом у тандемі як ONE великий консорціум майнерів. Ми ще T визначили цю здатність, але виявили, що це цікава, але тривожна можливість», — пояснюється в дописі в блозі, додаючи:

«ONE із сценаріїв може полягати в тому, що поки боти Mirai неактивні й очікують подальших інструкцій, їх можна використати для переходу в режим майнінгу».

Хоча ця ідея, за загальним визнанням, спекулятивна, звіт вказує на той факт, що Bitcoin використовувався для інших кіберзлочинів, наприкладпрограми-вимагачі, який шифрує всі комп’ютерні дані користувача з вимогою оплати, оскільки він децентралізований і сприймається як валюта, що покращує конфіденційність.

Однак технологія може мати більш вигідні випадки використання. Наприклад, ONE компанія нещодавно виявлено має на меті створити Bitcoin ботнет для захисту пристроїв Інтернету речей, поєднання Криптовалюта з Технології також має потенціал для менш вигідної онлайн-діяльності.

Простий захист

Отже, як користувачі можуть захистити свої підключені до Інтернету тостери від того, щоб їх зарахували до рабів майнінгу Bitcoin ?

Зловмисне програмне забезпечення Mirai використовує напрочуд простий вектор атаки.

Проблема в тому, що багато пристроїв IoT постачаються з попередньо встановленими паролями. І оскільки багато користувачів ніколи їх не змінюють, все, що зловмисник повинен зробити, це знайти пароль за умовчанням, щоб «зламати» пристрої.

МакМіллен радить користувачам змінити ці паролі. Однак він сказав, що сподівається, що компанії, що займаються Інтернетом речей, також починають вирішувати цю проблему.

Він підсумував:

«Виробники можуть шукати способи більш безпечного керування цими обліковими даними, можливо, шляхом примусової зміни або рандомізації логінів за замовчуванням».

Армійський комп'ютер через Shutterstock