• Sākums /
  • Tehnoloģijas /
21. februāris, 2017

Prasmīgs uzbrucējs izveido izvērstu ”Windows” robottīklu, lai izplatītu bēdīgi slaveno ļaunprogrammatūru ”Mirai”

Plašo Mirai robottīklu darbības pārtraukšanas ietvaros Kaspersky Lab eksperti analizē pirmo operētājsistēmā Windows izmantojamo ļaunprogrammatūras Mirai izplatītāju. Šķiet, Windows botu ir izveidojis izstrādātājs ar labākām prasmēm nekā uzbrucējiem, kas veica plašus uz Mirai balstītus DDoS (izkliedētā pakalpojumu atteikuma) uzbrukums 2016. gada beigās. Šim faktam ir satraucoša ietekme uz Mirai balstīto uzbrukumu turpmāko izmantošanu un mērķiem. Ļaunprogrammatūras autors, iespējams, ir ķīniešu valodas pratējs. Kaspersky Lab dati liecina par uzbrukumiem aptuveni 500 unikālām sistēmām 2017. gadā, un jo īpaši var būt apdraudēti jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās.

Operētājsistēmā Windows izmantojamais izplatītājs ir bagātīgāks un spēcīgāks par sākotnējo Mirai pamatkodu, taču lielākā daļa jaunā izplatītāja komponentu, metožu un funkciju ir vairākus gadus vecas. Ļaunprogrammatūras Mirai iespējas ir ierobežotas: tā var piegādāt Mirai botus no inficēta Windows resursdatora uz ievainojamām Linux lietiskā interneta ierīcēm tikai tad, ja tā spēj ar pārlasi sekmīgi uzlauzt Telnet attālā savienojuma paroli.

Neraugoties uz šo ierobežojumu, kodu nepārprotami ir veidojis vairāk pieredzējis izstrādātājs, kurš, iespējams, nesen pievērsies Mirai. Artefakti, piemēram, valodas pavedieni programmatūrā, fakts, ka kods ir kompilēts ķīniešu sistēmā ar resursserveriem Taivānā, kā arī Ķīnas uzņēmumiem nozagtu koda parakstīšanas sertifikātu ļaunprātīga izmantošana, liecina, ka izstrādātājs varētu būt ķīniešu valodas pratējs.

«Mirai pārejas parādīšanās starp Linux un Windows platformu, kā arī pieredzējušāku izstrādātāju iesaistīšanās rada nopietnas bažas. Banku Trojas zirga Zeus pirmkoda publicēšana 2011. gadā tiešsaistes sabiedrībai sagādāja problēmas gadiem ilgi, un Mirai lietiskā interneta bota pirmkoda publicēšana 2016. gadā izdarīs to pašu attiecībā uz internetu. Brīvi pieejamo Mirai kodu sāk izmantot pieredzējušāki uzbrucēji ar izsmalcinātākām prasmēm un paņēmieniem. Windows robottīkls, kas izplata lietiskā interneta Mirai botus, ir jauns līmenis, kas ļauj izplatīt Mirai pilnīgi citās ierīcēs un tīklos, kas Mirai operatoriem agrāk nebija pieejami. Tas ir tikai sākums,» sacīja Kaspersky Lab galvenais drošības pētnieks Kurts Baumgartners.

Saskaņā ar Kaspersky Lab telemetrijas datiem – šis Windows bots 2017. gadā ir uzbrucis gandrīz 500 unikālām sistēmām, ieskaitot atklātos un bloķētos mēģinājumus.

Pamatojoties uz uzbrukuma otrajā posmā iesaistīto IP adrešu atrašanās vietas noteikšanu, uzbrukumiem visvairāk pakļautās valstis ir jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās, piemēram, Indija, Vjetnama, Saūda Arābija, Ķīna, Irāna, Brazīlija, Maroka, Turcija, Malāvija, Apvienotie Arābu Emirāti, Pakistāna, Tunisija, Krievija, Moldova, Venecuēla, Filipīnas, Kolumbija, Rumānija, Peru, Ēģipte un Bangladeša.

Kaspersky Lab sadarbojas ar datorapdraudējumu reaģēšanas vienībām, mitināšanas pakalpojumu sniedzējiem un tīkla operatoriem, lai novērstu šo pieaugošo apdraudējumu interneta infrastruktūrai, pārtraucot ievērojama skaita komandvadības serveru darbību. Ātra un sekmīga šo serveru darbības izbeigšana samazina briesmas un traucējumus, ko rada strauji augošie robottīkli lietiskajā internetā. Kaspersky Lab var likt lietā savu pieredzi un saikni ar datorapdraudējumu reaģēšanas vienībām un pakalpojumu sniedzējiem visā pasaulē, tāpēc spēj palīdzēt paātrināt likvidācijas procesu.

Kaspersky Lab izstrādājumi atklāj Windows un Mirai botus un aizsargā no tiem. Uz šo pētījumu attiecas šie verdikti:

Trojan.Win32.SelfDel.ehlq

Trojan.Win32.Agentb.btlt

Trojan.Win32.Agentb.budb

Trojan.Win32.Zapchast.ajbs

Trojan.BAT.Starter.hj

Trojan-PSW.Win32.Agent.lsmj

Trojan-Downloader.Win32.Agent.hesn

Trojan-Downloader.Win32.Agent.silgjn

Backdoor.Win32.Agent.dpeu

HEUR:Trojan-Downloader.Linux.Gafgyt.b

DangerousPattern.Multi.Generic (UDS)

Lai uzzinātu vairāk par operētājsistēmā Windows izmantojamajiem Mirai izplatītāja rīkiem un paņēmieniem, varat izlasīt rakstu tīmekļa vietnē Securelist.com.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda