Zaawansowani cyberprzestępcy rozwijają zaawansowany botnet oparty na systemie Windows w celu rozprzestrzeniania niesławnego trojana Mirai

Botnet oparty na systemie Windows jest bogatszy i bardziej zaawansowany niż oryginalna baza kodu Mirai, która powstała w celu infekowania urządzeń Internetu Rzeczy działających pod kontrolą systemu Linux. Analiza wykazała, że - mimo pewnych ograniczeń - kod jest dziełem doświadczonego twórcy, aczkolwiek takiego, który jest prawdopodobnie związany z ekosystemem Mirai od niedawna. Za tym, że mamy do czynienia z chińskojęzycznym twórcą, przemawiają wskazówki językowe w oprogramowaniu, użycie chińskiego systemu do skompilowania szkodnika oraz fakt, że serwery cyberprzestępcze są utrzymywane w Tajwanie. Ponadto do podpisania kodu użyto cyfrowych certyfikatów skradzionych z chińskich firm.
Pojawienie się pomostu Mirai między platformą Linux a platformą Windows stanowi istotny problem, podobnie jak pojawienie się na scenie bardziej doświadczonych twórców. Opublikowanie kodu źródłowego trojana bankowego ZeuS w 2011 r. sprowadziło utrzymujące się przez lata problemy na społeczność online - ujawnienie kodu źródłowego Mirai w 2016 r. będzie miało te same skutki dla internetu. Powszechnie dostępny kod Mirai zaczynają wykorzystywać bardziej doświadczeni cyberprzestępcy, wykazujący coraz bardziej wyrafinowane umiejętności i techniki. Botnet oparty na systemie Windows umożliwia teraz rozprzestrzenianie szkodnika Mirai na nowo dostępne urządzenia oraz sieci, które wcześniej były nieosiągalne dla operatorów tego cyberzagrożenia - powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Według danych telemetrycznych Kaspersky Lab opisywany szkodliwy program dla systemu Windows atakował w 2017 r. niemal 500 unikatowych maszyn, przy czym wszystkie te próby zostały wykryte i zablokowane, zanim doszło do infekcji.
Z geolokalizacji adresów IP związanych z drugim etapem ataku wynika, że najbardziej zagrożonymi państwami są rynki wschodzące, które dużo inwestują w technologię związaną z urządzeniami połączonymi z internetem, takie jak Indie, Wietnam, Arabia Saudyjska, Chiny, Iran, Brazylia, Maroko, Turcja, Malawi, Zjednoczone Emiraty Arabskie, Pakistan, Tunezja, Rosja, Mołdawia, Wenezuela, Filipiny, Kolumbia, Rumunia, Peru, Egipt oraz Bangladesz.
Kaspersky Lab współpracuje z zespołami CERT, dostawcami usług hostingowych oraz operatorami sieci w celu przeciwdziałania temu coraz większemu zagrożeniu dla infrastruktury internetowej poprzez odłączanie licznych cyberprzestępczych serwerów kontroli. Szybkie i skuteczne odłączenie tych maszyn minimalizuje ryzyko oraz zakłócenia, jakie powodują rozwijające się szybko botnety oparte na Internecie Rzeczy. Dzięki możliwości wykorzystania swojego doświadczenia, jak również relacji z zespołami CERT oraz dostawcami na całym świecie Kaspersky Lab pomógł przyspieszyć te działania.
Produkty firmy Kaspersky Lab wykrywają i chronią przed nowym szkodliwym oprogramowaniem. Omawiane cyberzagrożenia są wykrywane jako:
- Trojan.Win32.SelfDel.ehlq
- Trojan.Win32.Agentb.btlt
- Trojan.Win32.Agentb.budb
- Trojan.Win32.Zapchast.ajbs
- Trojan.BAT.Starter.hj
- Trojan-PSW.Win32.Agent.lsmj
- Trojan-Downloader.Win32.Agent.hesn
- Trojan-Downloader.Win32.Agent.silgjn
- Backdoor.Win32.Agent.dpeu
- HEUR:Trojan-Downloader.Linux.Gafgyt.b
- DangerousPattern.Multi.Generic (UDS)
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.