Mirai變種惡意程式Satori感染10萬物聯網裝置組成殭屍網路大軍,華為EchoLife家用無線路由器產品佔了將近9萬台

Mirai變種惡意程式感染10萬物聯網裝置組成殭屍網路大軍,其中9成來自華為家用路由器

去年在全球引起多起網路災難的惡意程式Mirai最近又有新變種,並感染10萬物聯網裝置成為可以隨時發動DDoS攻擊的殭屍網路,其中9萬台為華為家用路由器。

Mirai在2016年9月現身,藉由感染大量物聯網(Internet of Things, IoT)裝置成為殭屍網路而多次發動500Gbps以上,甚至Tb級大規模流量的分散式阻斷攻擊(DDoS),推特、GitHub、Sony PlayStation網路及雲端服務業者都成了受害者。今年內Mirai歷經多次變種演化。

Ars Technica報導,美國寬頻電信商CenturyLink研究人員最近發現一隻Mirai變種在網路上感染有漏洞的IoT裝置。CenturyLink研究人員發現,這隻Mirai變種兩周來已感染10萬台IoT裝置並建立起殭屍網路,其中華為的EchoLife 家用無線路由器產品佔了將近9萬台。

安全廠商CheckPoint上周在華為Huawei HG532無線路由器上發現一項遠端程式碼執行漏洞,可讓遠端攻擊者利用發出變造過的呼叫開採,藉以執行任意程式碼。

另一家安全公司Qihoo 360 Netlab研究人員Li Fengpei將該變種命名為Mirai Satori。他發現Satori具有蠕蟲性質,它不像前代Mirai載入Telnet掃瞄工具來尋找目標裝置,而是藉由掃瞄並連接37215 port及52869 port並複製到其他裝置上。事實上,研究人員觀察到網路上掃瞄這二個傳輸埠的殭屍裝置半天就高達28萬個。

CenturyLink安全策略長Dale Drew表示,Mirai變種建立的殭屍網路可讓攻擊者隨時發動DDoS攻擊,或是威脅DDoS攻擊以勒索目標受害者,甚至當成付費服務提供客戶達成不法目的。

CenturyLink旗下骨幹網路業者Level 3已經關閉2個控制該殭屍網路的C&C伺服器網域,但駭客還是能透過其他管道來指揮殭屍網路上的裝置。Drew表示安全廠商目前除了密切監控該網路活動並即時出手掃蕩外,其實能做的有限。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

鎖定IoT裝置的Mirai殭屍網路背後竟是三名21歲年輕人建立的

美國司法部(DoJ)周三(12/13)宣布,21歲的Paras Jha與Dalton Norman,以及20歲Josiah White已坦承建立及操作Mirai殭屍網路,觸犯了美國的《電腦詐欺及濫用法案》,同時他們也涉及了多項網路攻擊行動。

這3名年輕人是在2016年的夏天與春天建立了鎖定物聯網(IoT)裝置的Mirai殭屍網路,該殭屍程式專門感染無線攝影機、路由器與監視器等非傳統運算裝置,他們利用已知或未公開的安全漏洞入侵並控制這些裝置,在最高峰的時期操控了數十萬台的IoT裝置,並用來執行分散式阻斷服務攻擊(DDoS),一直到Jha於去年10月透過駭客論壇公布Mirai原始碼為止。

這幾名生產力旺盛的年輕駭客所從事的不法活動還不僅於此,其中的Jha與Norman從2016年12月到今年2月間還利用惡意程式在美國成功感染了逾10萬個路由器等連網裝置,重新建立Clickfraud殭屍網路,主要用來展開點擊詐欺(clickfraud)任務,以賺取廣告營收。

Jha在2014年底至2016年底之間還曾多次駭進羅格斯大學(Rutgers University)的電腦系統,癱瘓了全校的通訊伺服器。

美國助理司法部長 John Cronan指出,強大的Mirai與Clickfraud殭屍網路都在提醒著我們正處於一個互連的世界,對於這些將技術武器化的威脅更應心生警惕。

法官預計於明年3月進行判決,其中,光是Jha入侵羅格斯大學電腦網路一案最多即可能面臨10年的牢獄之災,罰款則可能是學校損失的2倍或是25萬美元。

安全廠商與ISP聯手破獲Mirai變種Satori殭屍網路病毒,作者只是上網求教的業餘駭客

12月初感染華為等10萬物聯網裝置的Mirai變種惡意程式Satori,本周遭安全業者及ISP聯手破獲,發現作者只是個業餘駭客。
 
本月安全業者Qihoo 360 Netlab研究人員發現Mirai變種Satori藉由掃瞄並連網裝置的37215 port及52869 port並自我複製到其他裝置上,而美國寬頻業者CenturyLink發現它在兩周感染10萬台IoT裝置並建立起殭屍網路,包括華為的EchoLife 家用無線路由器產品近9萬台。

Checkpoint在11月底已就Satori(該公司稱為OKIRU)發出安全警示,顯示它已開採華為HG 532無線路由器的漏洞,使殭屍網路蔓延美國、德國、埃及義大利等地。
 
Satori病毒此後持續滋長,本周在安全公司Checkpoint及ISP合作下破獲並將之關閉。在此之前,Satori已經感染了估計50萬到70萬之間的物聯網裝置。
 
而安全公司一開始以為Satori背後是國家贊助的駭客或是罪兇惡極的犯罪集團。然經由控制殭屍網路的C&C伺服器發現只是一個業餘駭客。他半年前才以「Nexus Zeta」為暱稱在網路論壇上活動,其貼文顯示他是個新手,還在論壇上尋求協助建立一個Mirai殭屍網路,表示他聽說只要會組譯程式及集結成1Tbps流量的網路就可以辦到。Checkpoint表示,這顯示惡意程式加上安全防護不足的物聯網裝置,落在能力平平的駭客手中就能造成極大危險。
 
至於他如何發現華為路由器的零時差攻擊漏洞,是自行找到或是網上買來的,則不得而知。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

打造Satori殭屍網路的青少年認罪了

現年21歲、在2017年與其它同夥共同建立Satori殭屍網路的Kenneth Currin Schuchman在本周認罪了,承認自己協助與教唆電腦入侵。

Schuchman在2017年7月至2018年10月間,以當時已被公開的Mirai程式碼為基礎,打造了變種殭屍程式Satori,還替它加了了許多新功能,並鎖定物聯網(IoT)裝置展開攻擊。資安業者Sophos估計它至少感染了80萬台裝置,涵蓋家用路由器、監視器及網路攝影機等。

此外,Schuchman還與其它兩名同夥共同經營Satori、Masuta與Okiru等三大殭屍網路,並透過第三方網站提供租賃服務,協助其它人利用上述殭屍網路發動分散式阻斷服務(DDoS)攻擊。這些第三方網站通常偽裝成壓力測試服務的供應商,但實際上提供各式的網路攻擊服務。

檢方表示,Schuchman在未經授權即感染了這些裝置,也明知所建立的殭屍網路會被用來發動非法的DDoS攻擊,依然容許它們發生。

依據Schuchman認罪的項目,他最高會面臨10年的監禁、25萬美元的罰款與3年的監督釋放。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
Forums  ›  📰新聞  ›  中國