Kaiji Malware Brute Forces Let at gætte brugernavn og kodeordkombinationer til vellykkede angreb

Den såkaldte Internet of Things (IoT) revolution ændrede onlineøkosystemet i mange forskellige aspekter, og cybersikkerhed er ingen undtagelse. Hackere vidste, at smarte gadgets og andre IoT-enheder er lidt mere end små computere med trimmede (hovedsageligt Linux-baserede) operativsystemer, og de var fast besluttet på at udnytte denne kendsgerning.

Et par mindre end succesrige IoT-trusler dukkede op, før Mirai ramte scenen og omskrev rekordbogen fuldstændigt, når det kommer til Distribueret Denial of Service (DDoS) angreb. Botnets kolossale angreb var kraftige nok til at nedbringe store bidder af internettet i hele regioner i verden, og de viste lige hvor farlige, våbnede IoT-gadgets kunne være. De viste også alle, hvor dårlig IoT-sikkerhedstilstanden er. Du skulle tro, at vi havde lært vores lektioner nu. Du skulle tro, at vi ville have gjort vores smarte enheder vanskeligere at hacke. Du vil have forkert.

Kaiji - en helt ny IoT malware-familie

En gruppe uafhængige forskere, der kaldte MalwareMustDie, snublede for nylig over Kaiji - en tidligere ikke rapporteret stamme af IoT-malware. Selvom de ikke havde hørt om det før, troede eksperterne sandsynligvis først, at den eneste nye ting ved malware ville være navnet.

Efter Mirais historiske DDoS-angreb begyndte sikkerhedsfællesskabet og de retshåndhævende myndigheder at jage malware's forfattere. Til sidst blev skaberne af verdens mest magtfulde DDoS-botnet identificeret, men før det blev Mirais kildekode lækket. Lige siden da er praktisk taget alle IoT-malware-familier, der har tænkt at lancere DDoS-angreb, baseret på Mirai. Der er nye navne og nye komponenter, men kernen er altid stort set identisk, og den kommer fra den berygtede Mirai.

Kaiji blev imidlertid skrevet fra bunden af i Go Lang. Der er ikke kopieret en enkelt kodelinje fra andre steder, hvilket betyder, at vi for første gang på et stykke tid har en IoT malware-familie, som vi kan sammenligne med Mirai. Så hvordan stables det op?

Er Kaiji den nye Mirai?

Faktum er, at vi ikke ved så meget om Kaiji i øjeblikket. Forskere fra Intezer skrev en teknisk rapport om den nye malware, der understøtter MalwareMustDies mistanke om, at Kaiji blev skrevet af kinesiske hackere. Malware er tilsyneladende parat til at starte flere forskellige typer DDoS-angreb, men det ser ud til, at det stadig er under udvikling. På et tidspunkt under analysen bemærkede Intezers forskere, at Kaiji forbrugte for meget RAM, og de så senere, at dele af Command & Control-infrastrukturen ikke var operationelle - en klar indikation af, at malware-forfatterne stadig har noget arbejde at gøre.

De har imidlertid valgt deres første infektionsvektor, og deres beslutning kan fortælle os meget ikke kun om Kaiji, men om hele IoT-landskabet.

Ny malware, gamle tricks

Kaiji inficerer nye enheder ved at brute-tvinge deres SSH-login-legitimationsoplysninger. SSH er en netværksprotokol, der lader dig fjernstyre andre enheder, og mange steder vil du se den beskrevet som meget mere sikker end Telnet, kommunikationsprotokollen, som Mirai bruger til at rekruttere smarte gadgets. Faktisk er en af de største forskelle, at SSH-forbindelser er krypteret, men i dette særlige tilfælde betyder det ikke noget.

Både Mirai og Kaiji brute-force deres måde, hvilket betyder, at angrebene ikke er rettet mod protokollerne, men til loginoplysninger. Den blotte kendsgerning, at disse loginoplysninger stadig indeholder en gyldig infektionsvektor, taler bind for IoT-sikkerhedstilstanden. Kaiji og Mirai udnytter ikke engang folks dårlige beslutninger om adgangskodeadministration. I stedet drager de fordel af det faktum, at alt for mange enheder stadig bruger standardoplysninger.

Producenterne af IoT-gadgets frigiver enhederne på markedet med let at gætte loginoplysninger, der kunne lade nogen tage kontrol over dem. I håb om, at ingen ville være interesseret i at hacking disse bestemte gadgets, undlader leverandører ofte at implementere en måde at opdatere de svage adgangskoder, hvilket gør et angreb endnu mere sandsynligt at få succes. Selv hvis der er en mekanisme til nulstilling af adgangskode, kan brugerne ofte ikke gider at bruge den.

Dette var tilfældet i 2016, da Mirai gjorde sine første mærker, og det er helt klart tilfældet nu, hvilket viser at vi ikke har lært noget i de sidste fire år.