21. februāris, 2017

Prasmīgs uzbrucējs izveido izvērstu ”Windows” robottīklu, lai izplatītu bēdīgi slaveno ļaunprogrammatūru ”Mirai”

Plašo Mirai robottīklu darbības pārtraukšanas ietvaros Kaspersky Lab eksperti analizē pirmo operētājsistēmā izmantojamo ļaunprogrammatūras Mirai izplatītāju. Šķiet, Windows botu ir izveidojis izstrādātājs ar labākām prasmēm nekā uzbrucējiem, kas veica plašus uz Mirai balstītus DDoS (izkliedētā pakalpojumu atteikuma) 2016. gada beigās. Šim faktam ir satraucoša ietekme uz Mirai balstīto uzbrukumu turpmāko izmantošanu un mērķiem. Ļaunprogrammatūras autors, iespējams, ir ķīniešu valodas pratējs. Kaspersky Lab dati liecina par uzbrukumiem aptuveni 500 unikālām sistēmām 2017. gadā, un jo īpaši var būt apdraudēti jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās.

Operētājsistēmā izmantojamais izplatītājs ir bagātīgāks un spēcīgāks par sākotnējo Mirai pamatkodu, taču lielākā daļa jaunā izplatītāja komponentu, metožu un funkciju ir vairākus gadus vecas. Ļaunprogrammatūras Mirai iespējas ir ierobežotas: tā var piegādāt Mirai botus no inficēta Windows resursdatora uz ievainojamām Linux lietiskā interneta ierīcēm tikai tad, ja tā spēj ar pārlasi sekmīgi uzlauzt Telnet attālā savienojuma paroli.

Neraugoties uz šo ierobežojumu, kodu nepārprotami ir veidojis vairāk pieredzējis izstrādātājs, kurš, iespējams, nesen pievērsies Mirai. Artefakti, piemēram, valodas pavedieni programmatūrā, fakts, ka kods ir kompilēts ķīniešu sistēmā ar resursserveriem Taivānā, kā arī Ķīnas uzņēmumiem nozagtu koda parakstīšanas sertifikātu ļaunprātīga izmantošana, liecina, ka izstrādātājs varētu būt ķīniešu valodas pratējs.

«Mirai pārejas parādīšanās starp Linux un platformu, kā arī pieredzējušāku izstrādātāju iesaistīšanās rada nopietnas bažas. Banku Trojas zirga Zeus pirmkoda publicēšana 2011. gadā tiešsaistes sabiedrībai sagādāja problēmas gadiem ilgi, un Mirai lietiskā interneta bota pirmkoda publicēšana 2016. gadā izdarīs to pašu attiecībā uz internetu. Brīvi pieejamo Mirai kodu sāk izmantot pieredzējušāki uzbrucēji ar izsmalcinātākām prasmēm un paņēmieniem. robottīkls, kas izplata lietiskā interneta Mirai botus, ir jauns līmenis, kas ļauj izplatīt Mirai pilnīgi citās ierīcēs un tīklos, kas Mirai operatoriem agrāk nebija pieejami. Tas ir tikai sākums,» sacīja Kaspersky Lab galvenais drošības pētnieks Kurts Baumgartners.

Saskaņā ar Kaspersky Lab telemetrijas datiem – šis bots 2017. gadā ir uzbrucis gandrīz 500 unikālām sistēmām, ieskaitot atklātos un bloķētos mēģinājumus.

Pamatojoties uz uzbrukuma otrajā posmā iesaistīto IP adrešu atrašanās vietas noteikšanu, uzbrukumiem visvairāk pakļautās valstis ir jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās, piemēram, Indija, Vjetnama, Saūda Arābija, Ķīna, Irāna, Brazīlija, Maroka, Turcija, Malāvija, Apvienotie Arābu Emirāti, Pakistāna, Tunisija, Krievija, Moldova, Venecuēla, Filipīnas, Kolumbija, Rumānija, Peru, Ēģipte un Bangladeša.

Kaspersky Lab sadarbojas ar datorapdraudējumu reaģēšanas vienībām, mitināšanas pakalpojumu sniedzējiem un tīkla operatoriem, lai novērstu šo pieaugošo apdraudējumu interneta infrastruktūrai, pārtraucot ievērojama skaita komandvadības serveru darbību. Ātra un sekmīga šo serveru darbības izbeigšana samazina briesmas un traucējumus, ko rada strauji augošie robottīkli lietiskajā internetā. Kaspersky Lab var likt lietā savu pieredzi un saikni ar datorapdraudējumu reaģēšanas vienībām un pakalpojumu sniedzējiem visā pasaulē, tāpēc spēj palīdzēt paātrināt likvidācijas procesu.

Kaspersky Lab izstrādājumi atklāj un Mirai botus un aizsargā no tiem. Uz šo pētījumu attiecas šie verdikti:

Trojan.Win32.SelfDel.ehlq

Trojan.Win32.Agentb.btlt

Trojan.Win32.Agentb.budb

Trojan.Win32.Zapchast.ajbs

Trojan.BAT.Starter.hj

Trojan-PSW.Win32.Agent.lsmj

Trojan-Downloader.Win32.Agent.hesn

Trojan-Downloader.Win32.Agent.silgjn

Backdoor.Win32.Agent.dpeu

HEUR:Trojan-Downloader.Linux.Gafgyt.b

DangerousPattern.Multi.Generic (UDS)

Lai uzzinātu vairāk par operētājsistēmā izmantojamajiem Mirai izplatītāja rīkiem un paņēmieniem, varat izlasīt rakstu tīmekļa vietnē Securelist.com.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

lvLatviešu valoda