Uusi esineiden internet-botnet löytyi Bitcoinista

Bottien käyttö Bitcoin-kaivoksessa

Kryptovaluutat ottaisivat liiketoimia vastaan ​​tulevaisuudessa. Siellä olevista kryptovaluutoista Bitcoinilla on merkittävä paikka. Bitcoinin louhinnasta on kuitenkin tullut jonkinlainen haaste. Tämä on houkutellut insinöörejä hakemaan uusimman tekniikan apua Bitcoin-kaivostoimintaan. Siellä he kiinnittivät huomiota esineiden internetiin (IoT). Teknologista kehitystä ei kuitenkaan käytetä vain Bitcoin-kaivostoiminnan parantamiseen. Ihmiset käyttävät sitä vilpilliseen toimintaan. IBM löysi äskettäin tällaisen toiminnan.

IBM: n äskettäin tekemän tutkimuksen mukaan Mirai-esineiden Internet-botnetia käytetään asentamaan Bitcoin-kaivoskoodi uhrien tietokoneisiin. Lisätutkimusten avulla he huomasivat, että Botnetia on käytetty joihinkin suurempiin DDoS-hyökkäyksiin, jotka tapahtuvat viime aikoina. DynDNS: n poistaminen on täydellinen esimerkki tällaisesta hyökkäyksestä. Asiantuntijoiden mukaan tämä on tähän mennessä suurin hyökkäys.

Mirai-esineiden Internet-botnet

Mirai-esineiden Internet-botnet löydettiin jo elokuussa 2016. Valkoinen hatun turvaryhmä nimeltä Malwaremustdie; Mirai pystyi selvittämään sen toteutettuaan laajan projektin. Mirai pystyy muuttamaan Linuxissa toimivat verkkolaitteet hallituiksi zombeiksi tai boteiksi, joita voidaan käyttää DDoS-hyökkäyksiin. Se voi kuitenkin käyttää vain laitteita, jotka perustuvat vanhentuneisiin Linux-versioihin. Tämä kerää huomattavan määrän laitteita, joita voidaan käyttää suuren mittakaavan hyökkäyksen käynnistämiseen.

Mirai IoT -robotiverkon loi alun perin insinööritoimisto kahteen päätarkoitukseen. Nämä tarkoitukset selitti Dave Mcmillen, joka on vanhempi uhkatutkija ja työskentelee IBM: n hallinnoiduissa tietoturvapalveluissa. Ensimmäinen tavoite niistä on selvittää ja vaarantaa IoT-laitteet Botnetin kasvattamiseksi. Toiseksi Botnetia oli tarkoitus käyttää DDoS-hyökkäysten käynnistämiseen ennalta määriteltyjä kohteita vastaan. Dave Mcmillen antoi yksityiskohtaisen selvityksen näistä kahdesta tavoitteesta äskettäin pidetyssä kokouksessa. X-Force on IBM: n turvallisuustutkimus- ja uhkatiedustelupalveluyksikkö. Se tarjoaa käytännöllisiä oivalluksia ja uhkatiedusteluun liittyviä tietoja IT-johtajille ja tarvitseville yrityksille. Monet yritykset ovat riippuvaisia ​​X-Force: n toimittamista tiedoista. X-Force on jo ilmoittanut heille myös tästä IoT-pohjaisesta botnetista ja he ovat alkaneet etsiä toimivia menetelmiä lieventääkseen sen seurauksena mahdollisesti esiintyviä riskejä.

Mitä tähän mennessä on löydetty?

Ensimmäinen löytö Mirai-botti-muunnosta levittävästä botnet-verkosta selvitettiin tammikuussa. Tämä botti ei kuitenkaan ole jotain uutta. Kaspersky Labin globaalin tutkimusryhmän mukaan se on ollut siellä jo jonkin aikaa. Lisäksi he lisäsivät, että Mirain leviämistapa Windows Botsin kautta on rajallinen verrattuna Linux-robotteihin. Itse asiassa Windows-botit voivat vain toimittaa joukon Mirai-botteja Linux-isäntään Windows-isännästä. Kaspersky Labin tekemästä tutkimuksesta saatiin kuitenkin selville, että helmikuuhun mennessä on hyökätty yli 500 ainutlaatuiseen järjestelmään.

Kaspersky Labin johtava turvallisuustutkija Kurt Baumgartner on tehnyt siitä virallisen ilmoituksen. Kurt Baumgartnerin mukaan Windowsin ja Linuxin välisestä siirtymisestä on tullut todellinen huolenaihe. Windows-pohjainen botnet, joka levittää IoT Mirai -robotteja, voi helpottaa Mirain leviämistä uusiin laitteisiin. Se voi levitä myös käytettävissä oleviin verkkoihin, joita ei ollut aiemmin ollut saatavilla Mirai-operaattoreille. Kurt Baumgartner uskoo, että tämä on vasta alkua, ja siihen liittyy tulevaisuudessa paljon enemmän negatiivisia vaikutuksia.

Bitcoinin kaivoskoodin käyttöönotto

IBM X-Force löysi viime viikolla uuden version ELF Mirai Linux -haittaohjelmasta. Tämä muunnos tulee uuden kierteen kanssa. Toisin sanoen se koostuu sisäänrakennetusta Bitcoin-kaivoskomponentista. McMillen teki virallisen ilmoituksen myös tästä. Mirain käyttö yhdessä Bitcoin-kaivoshyökkäyksen kanssa alkoi 20. maaliskuuta. Se saavutti piikin 25. maaliskuuta, mutta sen toiminta oli olemassa 8 päivän ajan.

McMillen ja hänen tiiminsä eivät ole vielä löytäneet todisteita siitä, onko hyökkäys lyhytikäinen vai pitkäikäinen. Hän sanoo kuitenkin, että se näyttää enemmän tapahtumalta, jolla on lyhyt jakso kampanjoiden viitteiden vuoksi.

Bitcoin-asiakasta ei ole upotettu Miraihin yksin. Sen sijaan Bitcoin-kaivostyöläisillä on tärkeä rooli Mirai-tiputtimessa olevien tiedostojen arkistoinnin takana. Tämä tiputin on Linux-kuori tai Dofloo-takaovi ja se voi toimia Bitcoin-kaivos-orjana. Vaikka paljon tietoa hyökkääjistä ei ole vielä paljastettu, McMillen totesi, että suurin osa hyökkäyksistä tuli Aasian ja Tyynenmeren alueelta. He ovat myös analysoineet hyökkäyksessä käytettyä kieltä ja tunnistaneet sen perustuvan kiinaan. McMillen totesi myös, että joukkueella ei ole selkeää käsitystä siitä, onko Bitcoineja todella louhittu tämän hyökkäyksen aikana vai ei. Lisätyötä on kuitenkin tehtävä uuden variantin ominaisuuksien selvittämiseksi. Kaikkien sidosryhmien olisi tällä hetkellä toteutettava lisätoimia laitteidensa turvallisuuden parantamiseksi riskien vähentämiseksi.