MQsTTang Bagdør målretter mod IoT-enheder, der udnytter systemets sårbarheder
MQTTang Backdoor er en trojansk heststrussel, der er rettet mod Internet of Things (IoT)-enheder og bruger MQTT (Message Queuing Telemetry Transport)-protokollen som et kommunikationsmiddel med sin kommando- og kontrolserver (C&C). Det blev først opdaget i 2018 af forskere ved Unit 42, det globale trusselsefterretningsteam hos Palo Alto Networks.
MQTTang Backdoor er en sofistikeret malware, der bruger en flertrins infektionsproces til at undgå registrering og kompromittere IoT-enheder. Den første fase involverer scanning af internettet for sårbare IoT-enheder, der bruger MQTT-protokollen. Når en sårbar enhed er identificeret, får malwaren adgang til den ved at udnytte en kendt sårbarhed eller ved at bruge standard login-legitimationsoplysninger.
MQTTang Backdoor kunne downloade opdateringer og instruktioner fra C&C-servere
Når malwaren får adgang til enheden, bruger den MQTT-protokollen til at kommunikere med dens kommando- og kontrolserver. Serveren sender kommandoer til malwaren, som kan omfatte at stjæle data, starte DDoS-angreb eller installere yderligere malware. Malwaren er designet til at være vedvarende, hvilket betyder, at den kan overleve en genstart af den inficerede enhed og fortsætte med at kommunikere med kommando- og kontrolserveren.
En af de unikke egenskaber ved MQTTang Backdoor er dens evne til at bruge MQTT-protokollen til at kommunikere med dens kommando- og kontrolserver. MQTT-protokollen er en letvægtsmeddelelsesprotokol, der almindeligvis bruges i IoT-enheder, fordi den er effektiv og kan arbejde med begrænset netværksbåndbredde. Dette gør det dog også til et attraktivt mål for malware-forfattere, fordi det giver dem mulighed for at kommunikere med inficerede enheder uden at vække mistanke.
Afhjælpningstrin til at hjælpe med at beskytte dine systemer mod et MQTTang-bagdørsangreb
For at beskytte mod MQTTang Backdoor og anden lignende malware er det vigtigt at følge bedste praksis for sikring af IoT-enheder. Dette inkluderer ændring af standard login-legitimationsoplysninger, anvendelse af softwareopdateringer og patches, så snart de bliver tilgængelige, og brug af stærke adgangskoder. Derudover anbefales det at bruge firewalls og systemer til registrering af indtrængen til at overvåge netværkstrafik og opdage enhver mistænkelig aktivitet.