Zaawansowani cyberprzestępcy rozwijają zaawansowany botnet oparty na systemie Windows w celu rozprzestrzeniania niesławnego trojana Mirai

Eksperci z Kaspersky Lab analizują pierwszą opartą na systemie Windows sieć zainfekowanych urządzeń (tzw. botnet) służącą do rozprzestrzeniania szkodliwego oprogramowania Mirai w ramach akcji zamykania działających botnetów. Badania wykazały, że wersja dla systemu Windows została stworzona przez programistę posiadającego bardziej zaawansowane umiejętności niż cyberprzestępcy, którzy pod koniec 2016 r. przeprowadzili masowe ataki DDoS wspomagane botnetem Mirai.

Może to mieć poważny wpływ na przyszłe ataki oparte na Mirai i ich cele. Autor nowego szkodliwego oprogramowania prawdopodobnie biegle włada językiem chińskim. Według danych Kaspersky Lab w 2017 r. zaatakowanych zostało około 500 unikatowych systemów, przy czym szczególnie zagrożone są rynki wschodzące, które dużo inwestują w technologie połączone z internetem.

Botnet oparty na systemie Windows jest bogatszy i bardziej zaawansowany niż oryginalna baza kodu Mirai, która powstała w celu infekowania urządzeń Internetu Rzeczy działających pod kontrolą systemu Linux. Analiza wykazała, że - mimo pewnych ograniczeń - kod jest dziełem doświadczonego twórcy, aczkolwiek takiego, który jest prawdopodobnie związany z ekosystemem Mirai od niedawna. Za tym, że mamy do czynienia z chińskojęzycznym twórcą, przemawiają wskazówki językowe w oprogramowaniu, użycie chińskiego systemu do skompilowania szkodnika oraz fakt, że serwery cyberprzestępcze są utrzymywane w Tajwanie. Ponadto do podpisania kodu użyto cyfrowych certyfikatów skradzionych z chińskich firm.

Pojawienie się pomostu Mirai między platformą Linux a platformą Windows stanowi istotny problem, podobnie jak pojawienie się na scenie bardziej doświadczonych twórców. Opublikowanie kodu źródłowego trojana bankowego ZeuS w 2011 r. sprowadziło utrzymujące się przez lata problemy na społeczność online - ujawnienie kodu źródłowego Mirai w 2016 r. będzie miało te same skutki dla internetu. Powszechnie dostępny kod Mirai zaczynają wykorzystywać bardziej doświadczeni cyberprzestępcy, wykazujący coraz bardziej wyrafinowane umiejętności i techniki. Botnet oparty na systemie Windows umożliwia teraz rozprzestrzenianie szkodnika Mirai na nowo dostępne urządzenia oraz sieci, które wcześniej były nieosiągalne dla operatorów tego cyberzagrożenia - powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Według danych telemetrycznych Kaspersky Lab opisywany szkodliwy program dla systemu Windows atakował w 2017 r. niemal 500 unikatowych maszyn, przy czym wszystkie te próby zostały wykryte i zablokowane, zanim doszło do infekcji.

Z geolokalizacji adresów IP związanych z drugim etapem ataku wynika, że najbardziej zagrożonymi państwami są rynki wschodzące, które dużo inwestują w technologię związaną z urządzeniami połączonymi z internetem, takie jak Indie, Wietnam, Arabia Saudyjska, Chiny, Iran, Brazylia, Maroko, Turcja, Malawi, Zjednoczone Emiraty Arabskie, Pakistan, Tunezja, Rosja, Mołdawia, Wenezuela, Filipiny, Kolumbia, Rumunia, Peru, Egipt oraz Bangladesz.

Kaspersky Lab współpracuje z zespołami CERT, dostawcami usług hostingowych oraz operatorami sieci w celu przeciwdziałania temu coraz większemu zagrożeniu dla infrastruktury internetowej poprzez odłączanie licznych cyberprzestępczych serwerów kontroli. Szybkie i skuteczne odłączenie tych maszyn minimalizuje ryzyko oraz zakłócenia, jakie powodują rozwijające się szybko botnety oparte na Internecie Rzeczy. Dzięki możliwości wykorzystania swojego doświadczenia, jak również relacji z zespołami CERT oraz dostawcami na całym świecie Kaspersky Lab pomógł przyspieszyć te działania.

Produkty firmy Kaspersky Lab wykrywają i chronią przed nowym szkodliwym oprogramowaniem. Omawiane cyberzagrożenia są wykrywane jako:

  • Trojan.Win32.SelfDel.ehlq
  • Trojan.Win32.Agentb.btlt
  • Trojan.Win32.Agentb.budb
  • Trojan.Win32.Zapchast.ajbs
  • Trojan.BAT.Starter.hj
  • Trojan-PSW.Win32.Agent.lsmj
  • Trojan-Downloader.Win32.Agent.hesn
  • Trojan-Downloader.Win32.Agent.silgjn
  • Backdoor.Win32.Agent.dpeu
  • HEUR:Trojan-Downloader.Linux.Gafgyt.b
  • DangerousPattern.Multi.Generic (UDS)

Szczegóły techniczne dotyczące narzędzi i technik stosowanych w szkodliwym oprogramowaniu Mirai dla systemu Windows znajdują się na stronie https://kas.pr/6HLj.


opublikowano: 2017-02-22
Komentarze
Polityka Prywatności