Router Dasan Networks podobný tomuto je aktivně využíván od silného Satori botnet.Dasan Networks
Rychle se pohybující botnet, který mění směrovače, kamery a další typy zařízení připojených k internetu do silných nástrojů pro krádež a ničení se znovu objevilo, tentokrát využíváním a kritická zranitelnost, která útočníkům poskytuje kontrolu nad tolika jako 40 000 směrovačů. Přes vysoké sázky to nic nenasvědčuje chyba bude opravena kdykoli, pokud vůbec.
Satori, protože botnet byl dabován, rychle pojmenoval sám v prosinci, kdy infikoval více než 100 000 směrovačů pouhých 12 hodin využitím kritických zranitelností ve dvou modelech, jeden vytvořený Huawei a druhý RealTek. Minulý měsíc, Satori operátoři vydali novou verzi, kterou infikovaná zařízení používala digitální mince, čin, který útočníkům umožnil těžit stejně jako Ethereum v hodnotě 3 000 $, založené na cenách digitální mince v té době velící.
V posledních dnech začala společnost Satori infikovat směrovače vyrábí společnost Dasan Networks v Jižní Koreji. Počet denně infikovaných routerů je asi 13 700, z toho asi 82 procent se nachází ve Vietnamu, řekl výzkumník z Netlab 360 se sídlem v Číně Ars. Dotazy na vyhledávací index Shodan připojený k internetu zařízení ukazují, že celkem existuje více než 40 000 routerů Dasane. Společnost dosud neodpověděla na doporučení zveřejněné v roce 2007 Prosinec, který zdokumentoval zranitelnost při spuštění kódu, kterou Satori je využití, což umožní, že většina nebo všechna zařízení budou nakonec se stanou součástí botnetu.
“Snažili jsme se kontaktovat Dasana od 8. října 2017,” vědci ze služby zveřejňování zranitelností, kterou SecuriTeam napsal v 6. prosince poradní. „Opakované pokusy navázat kontakt proběhly nezodpovězeno. V současné době neexistuje žádné řešení nebo řešení tato chyba zabezpečení. “V e-mailu zaslaném ve středu Noam Rathaus, CTO mateřské společnosti SecuriTeam Beyond Security, napsal:
Od října jsme se pokusili Dasana několikrát kontaktovat. Podle “několikrát” myslím asi přes 10 e-mailů, několik telefonů volání a žádosti o jejich podporu i prodej oddělení.
Protože jsme si byli vědomi, že může existovat možný jazyk překážku, šli jsme až k vedoucímu naší korejské kanceláře pošlete jim úplné vysvětlení v korejštině s pozvánkou komunikovat přímo s námi za účelem koordinace zveřejňování; náš Korejská kancelář se je pokusila kontaktovat e-mailem a telefonicky ale s výjimkou krátkého potvrzení, že obdrželi náš komunikace, nikdy jsme nedostali žádné aktualizace.
Pokusy Arse kontaktovat zástupce Dasana nebyly okamžitě úspěšný.
Téměř nekonečné množství zranitelných míst
Satori je založena na Mirai, open source internetu věcí malware, který napájel řadu botnetů, které byly dodány rekordní distribuované odmítnutí servisních útoků v roce 2016 a oslabené základní části internetu celé dny. Na rozdíl od tisíců dalších Mirai variant, Satori představoval klíčové zlepšení. Zatímco Mirai a jeho napodobitelé mohli infikovat pouze zabezpečená zařízení Díky snadno uhodnutým výchozím heslům Satori využil firmware chyby, které se často neodebírají, buď kvůli výrobci nedbalost nebo potíže majitelé zařízení čelí při opravě jejich zařízení.
“Vývojář Satori aktivně aktualizuje malware,” Netlab 360 výzkumník Li Fengpei napsal v e-mailu. “V budoucnosti, pokud.” Satori dělá více titulků, nebudeme překvapeni. “
Stejně jako většina IoT malwaru, infekce Satori nepřežijí zařízení restartujte počítač. To znamená prosincové infekce Huawei a Zařízení RealTek – jejichž odhady Netlab 360 dosáhly celkem 260 000 – jsou z velké části pryč. Díky botnetu se však podařilo vytrvat téměř nekonečné množství zranitelných míst v jiných zařízeních internetu věcí. Kromě již zmiňovaných infekčních metod má Satori také se podařilo rozšířit využitím nedostatků ve vlastních verzích systému Windows Webový server GoAhead, který je zabudován do bezdrátových kamer a dalších typy IoT zařízení, výzkumníci z bezpečnostní firmy Fortinet hlášeno před dvěma týdny. Mluvčí GoAhead řekl Arsovi: „Chyba není opravdu v implementaci webového serveru, ale v webová aplikace, která ji používá, tj. jen proto, že má zařízení GoAhead neznamená, že je zranitelný. “
Pascal Geenens, výzkumný pracovník v bezpečnostní firmě Radware, který ohlásil novou variantu Satori v pondělí, řekl Ars, že to tak není zcela jasné, jaký je účel botnetu. Minulý měsíc varianta, která byla zmíněna dříve, která infikovala Claymore Miner klíčem může být software pro generování kryptoměny. Varianta, řekl Geenens, je silným signálem, že operátoři Satori chcete ukrást digitální mince nebo výpočetní prostředky použité k vytvoření jim. Řekl, že varianty Claymore a Dasan se na to spoléhají infrastrukturu příkazů a řízení a že slovo Satori je obsažené v binárních souborech obou verzí.
Piotr Bazydło, výzkumný pracovník NASK Research and Academic Computer Network, řekl Ars, že věří, že nová varianta může infikovali až 30 000 směrovačů a to Satori vývojáři pravděpodobně plánují nové útoky v blízkém okolí budoucnost.
“Myslím, že se snaží sledovat tento trend a poskytnout.” botnet pro těžbu / krádež kryptoměny, “napsal v e-mailu. “Lidé by si měli být vědomi toho, že existuje více variant Satori.” v budoucnu mohou být zacíleny další zařízení internetu věcí. “
Tento příspěvek byl aktualizován dne 15. 2. 1818, aby bylo možné přidat komentář Pokračuj.
