Завоевавший известность в прошлом году ботнет Mirai можно сравнить с многоглавой гидрой из древнегреческих мифов, у которой на месте отсеченной головы тут же вырастали три новые. Вредоносный код был опубликован осенью прошлого года, и с тех пор попытки остановить распространение инфекции заканчиваются появлением все большего числа зараженных устройств.
Хорошие новости – в прошлом месяце был арестован один из предполагаемых организаторов DDoS-атак с использованием Mirai. Кроме того, одной из крупнейших мировых телекоммуникационных компаний Level 3 Communications удалось остановить распространение вредоносного кода. По словам старшего директора по безопасности Дэйла Дрю (Dale Drew), зараженными оказались от 500 тыс. до 600 тыс. IoT-устройств, однако теперь практически все они “обезврежены”, и хакеры больше не могут их контролировать.
Level 3 Communications и другие операторы связи блокируют интернет-доступ к серверам, используемым для управления ботами. “Сначала мы отключали C&C-серверы Mirai каждый месяц, затем каждую неделю. Сейчас мы отключаем их каждые четыре часа”, – сообщил Дрю журналистам Network World.
В настоящее время зараженными остаются порядка 97 тыс. устройств, однако это не означает, будто Mirai больше не представляет собой угрозу. Как сообщают исследователи Malware Must Die, киберпреступники модифицируют код вредоноса с целью заражения новых моделей устройств. К примеру, китайские хакеры приспособили Mirai для инфицирования IoT-продуктов производства одной из тайваньских компаний. Злоумышленники модифицировали код, наделив его способностью эксплуатировать известную уязвимость в видеорегистраторах и IP-камерах Avtech. Новая версия Mirai эксплуатирует XSS-уязвимость, перенаправляющую на URL, с которого на устройство загружается вредонос. (Malware Must Die/NovostIT)