Hyökkääjät käyttävät uutta Mirai-botnet-varianttia, joka tunnetaan nimellä V3G4, kohdistaakseen esineiden Internet-laitteisiin ja Linux-pohjaisiin palvelimiin.
Uutta Mirai-bottiverkkoa käytetään erilaisissa hyökkäyksissä
Palo Alto Networksin Unit42-tietoturvatutkijat julkaisivat 15. helmikuuta 2023 neuvon uudesta Mirai-botnet-versiosta, nimeltään "V3G4". Vuonna Yksikkö42 viesti, lukijoita varoitettiin, että useat kampanjat ovat käyttäneet botnet-haittaohjelmia hyökkäyksiin, joita seurattiin heinä-joulukuun 2022 välisenä aikana.
Kaiken kaikkiaan ilkeä operaattori onnistui hyödyntämään 13 tietoturva-aukkoja, jotka kaikki saattoivat sallia koodin etäsuorittamisen bottiverkon luomiseksi. Unit42 kirjoitti neuvonnassaan, että koodin etäsuorittamisen yhteydessä "wget- ja curl-apuohjelmat ovat automaattisesti suoritetaan Mirai-asiakasnäytteiden lataamiseksi haittaohjelmainfrastruktuurista ja sitten ladatun botin suorittamiseksi asiakkaita."
Yksikkö42 ilmoitti lukijoille myös, että jokaisen hyökkäyksen takana epäillään olevan sama uhkatekijä. Lisäksi uhkanäyttelijä käytti hyökkäyksessä rotuun perustuvaa herjausta, joka sensuroitiin neuvonnassa. Kirjoitushetkellä hyökkäyssarjaan ei ole yhdistetty haitallisia palveluita.
Linux-palvelimet ja IoT-laitteet on kohdistettu
Tätä uutta Mirai-varianttia on käytetty IoT-laitteiden ja Linux-pohjaisten palvelimien hyödyntämiseen. Yllämainitussa neuvonnassa Unit42 kirjoitti, että V3G4 "kohdistaa Linuxia käyttäviin paljaisiin palvelimiin ja verkkolaitteisiin" samalla kun se tähtää IoT-laitteisiin "suorittaakseen lisähyökkäyksiä, kuten esim. hajautetut palvelunestohyökkäykset (DDoS).."
Unit42 kirjoitti myös, että "kun asiakas muodostaa yhteyden C2-palvelimeen, uhkatekijä voi antaa asiakkaalle komentoja DDoS-hyökkäysten käynnistämiseksi." Bottiverkot ovat käytetään yleisesti DDoS-hyökkäyksissä häiritä palvelimen tai verkkosivuston tyypillistä verkkoliikennevirtaa. Tämä voi aiheuttaa palvelimen tai sivuston kaatumisen, jolloin tavalliset käyttäjät eivät voi tilapäisesti käyttää sitä.
Mirai-haittaohjelmat ovat olleet uhka vuosia
Mirai-botnet-versioita on käytetty useita kertoja haitallisten hyökkäysten käynnistämiseen ensimmäisen Mirai-ohjelman vuonna 2016 ilmestymisen jälkeen.
Monet tunnetut alustat on kohdistettu Mirai-bottiverkkoihin, mukaan lukien Minecraft, Amazon, Netflix ja PayPal. Ei ole epäilystäkään siitä, että tämä haittaohjelmaperhe muodostaa valtavan riskin verkkopalveluille.
Bottiverkot ovat vaarallisia mutta tehokkaita hyökkäysvektoreita
Zombie-laitteiden verkon luominen haitallisten hyväksikäyttöjen suorittamiseksi on kehittynyt mutta erittäin huolestuttava menetelmä, jota kyberrikolliset käyttävät nykyään erityisesti DDoS-hyökkäyksissä. Tulevaisuudessa tulemme varmasti näkemään lisää erilaisia botnet-haittaohjelmia, mahdollisesti Mirain tekijöiltä.