Kaiji Malware Brute Forces Εύκολο να μαντέψετε συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης για επιτυχείς επιθέσεις

Η λεγόμενη επανάσταση του Internet of Things (IoT) άλλαξε το διαδικτυακό οικοσύστημα σε πολλές διαφορετικές πτυχές και η ασφάλεια στον κυβερνοχώρο δεν αποτελεί εξαίρεση. Οι χάκερ γνώριζαν ότι τα έξυπνα gadget και άλλες συσκευές IoT είναι κάτι περισσότερο από μικρούς υπολογιστές με περικομμένα (κυρίως Linux) λειτουργικά συστήματα και ήταν αποφασισμένοι να εκμεταλλευτούν αυτό το γεγονός.

Μερικές λιγότερο από τις επιτυχημένες απειλές IoT εμφανίστηκαν πριν ο Μιράι χτυπήσει τη σκηνή και έγραψε ξανά εντελώς το βιβλίο δίσκων όταν πρόκειται για επιθέσεις Distributed Denial of Service (DDoS). Οι κολοσσιαίες επιθέσεις του botnet ήταν αρκετά ισχυρές για να καταστρέψουν μεγάλα κομμάτια του Διαδικτύου σε ολόκληρες περιοχές του κόσμου και έδειξαν πόσο επικίνδυνα θα μπορούσαν να είναι τα οπλισμένα gadget IoT. Έδειξαν επίσης σε όλους πόσο κακή είναι η κατάσταση της ασφάλειας του IoT. Θα νομίζατε ότι θα είχαμε μάθει τα μαθήματά μας από τώρα. Θα νομίζατε ότι θα είχαμε κάνει πιο δύσκολη την παραβίαση των έξυπνων συσκευών μας. Λοιπόν, θα κάνατε λάθος.

Kaiji - μια ολοκαίνουργια οικογένεια κακόβουλου λογισμικού IoT

Μια ομάδα ανεξάρτητων ερευνητών που πήραν το όνομα MalwareMustDie έπεσαν πρόσφατα στον Kaiji - ένα προηγούμενο στέλεχος κακόβουλου λογισμικού IoT. Αν και δεν το είχαν ξαναδεί, οι ειδικοί πίστευαν πιθανώς στην αρχή ότι το μόνο νέο πράγμα για το κακόβουλο λογισμικό θα ήταν το όνομα.

Μετά τις ιστορικές επιθέσεις DDoS του Mirai, η κοινότητα ασφαλείας και οι υπηρεσίες επιβολής του νόμου άρχισαν να κυνηγούν τους συγγραφείς του κακόβουλου λογισμικού. Τελικά, εντοπίστηκαν οι δημιουργοί του πιο ισχυρού botnet DDoS στον κόσμο, αλλά πριν από αυτό, διαρρέθηκε ο πηγαίος κώδικας του Mirai. Από τότε, σχεδόν όλες οι οικογένειες κακόβουλου λογισμικού IoT που έχουν αρχίσει να ξεκινούν επιθέσεις DDoS βασίζονται στο Mirai. Υπάρχουν νέα ονόματα και νέα στοιχεία, αλλά ο πυρήνας είναι πάντα σχεδόν πανομοιότυπος και προέρχεται από το περίφημο Mirai.

Ο Kaiji, ωστόσο, γράφτηκε από την αρχή στο Go Lang. Δεν έχει αντιγραφεί ούτε μία γραμμή κώδικα από οπουδήποτε αλλού, πράγμα που σημαίνει ότι για πρώτη φορά σε λίγο, έχουμε μια οικογένεια κακόβουλου λογισμικού IoT που μπορούμε να συγκρίνουμε με το Mirai. Λοιπόν, πώς συσσωρεύεται;

Είναι ο Kaiji ο νέος Mirai;

Το γεγονός είναι ότι δεν γνωρίζουμε τόσο πολύ για τον Kaiji αυτή τη στιγμή. Ερευνητές από την Intezer έγραψαν μια τεχνική έκθεση για το νέο κακόβουλο λογισμικό, το οποίο στηρίζει την υποψία του MalwareMustDie ότι ο Kaiji γράφτηκε από Κινέζους χάκερ. Το κακόβουλο λογισμικό είναι προφανώς έτοιμο να ξεκινήσει διάφορους τύπους επιθέσεων DDoS, αλλά φαίνεται ότι είναι ακόμα υπό ανάπτυξη. Σε ένα σημείο κατά τη διάρκεια της ανάλυσης, οι ερευνητές του Intezer παρατήρησαν ότι ο Kaiji καταναλώνει υπερβολική μνήμη RAM και αργότερα είδαν ότι τμήματα της υποδομής Command & Control δεν ήταν λειτουργικά - μια σαφής ένδειξη ότι οι δημιουργοί κακόβουλου λογισμικού έχουν ακόμη κάποια δουλειά.

Ωστόσο, έχουν επιλέξει τον αρχικό φορέα μόλυνσης και η απόφασή τους μπορεί να μας πει πολλά όχι μόνο για τον Kaiji αλλά και για ολόκληρο το τοπίο του IoT.

Νέο κακόβουλο λογισμικό, παλιά κόλπα

Ο Kaiji μολύνει νέες συσκευές με βίαιο έλεγχο των διαπιστευτηρίων σύνδεσης SSH. Το SSH είναι ένα πρωτόκολλο δικτύου που σας επιτρέπει να ελέγχετε από απόσταση άλλες συσκευές, και σε πολλά μέρη, θα το δείτε ότι περιγράφεται πολύ πιο ασφαλές από το Telnet, το πρωτόκολλο επικοινωνίας που χρησιμοποιεί η Mirai για την πρόσληψη έξυπνων συσκευών. Πράγματι, μία από τις κύριες διαφορές είναι ότι οι συνδέσεις SSH είναι κρυπτογραφημένες, αλλά στη συγκεκριμένη περίπτωση, αυτό δεν έχει σημασία.

Τόσο ο Mirai όσο και ο Kaiji βίαιζαν τον τρόπο τους με τον οποίο οι επιθέσεις δεν στοχεύουν όχι στα πρωτόκολλα, αλλά στα διαπιστευτήρια σύνδεσης. Το απλό γεγονός ότι αυτά τα διαπιστευτήρια σύνδεσης εξακολουθούν να παρουσιάζουν έναν έγκυρο φορέα μόλυνσης μιλάει πολλά για την κατάσταση της ασφάλειας του IoT. Ο Kaiji και ο Mirai δεν εκμεταλλεύονται καν τις κακές αποφάσεις διαχείρισης κωδικών πρόσβασης των ανθρώπων. Αντ 'αυτού, εκμεταλλεύονται το γεγονός ότι πάρα πολλές συσκευές εξακολουθούν να χρησιμοποιούν προεπιλεγμένα διαπιστευτήρια.

Οι κατασκευαστές μικροεφαρμογών IoT κυκλοφορούν τις συσκευές στην αγορά με εύχρηστα διαπιστευτήρια σύνδεσης που θα μπορούσαν να επιτρέψουν σε οποιονδήποτε να τις ελέγξει. Ελπίζοντας ότι κανείς δεν θα ενδιαφερόταν να πειραχτεί αυτά τα συγκεκριμένα gadget, οι προμηθευτές συχνά αποτυγχάνουν να εφαρμόσουν έναν τρόπο ενημέρωσης των αδύναμων κωδικών πρόσβασης, γεγονός που καθιστά μια επίθεση ακόμη πιο πιθανή να πετύχει. Ακόμα κι αν υπάρχει μηχανισμός επαναφοράς κωδικού πρόσβασης, οι χρήστες συχνά δεν μπορούν να ενοχληθούν να τον χρησιμοποιήσουν.

Αυτό συνέβη το 2016 όταν ο Μιράι σημείωσε τα πρώτα του σημάδια, και είναι σαφές τώρα, πράγμα που δείχνει ότι δεν έχουμε μάθει τίποτα τα τελευταία τέσσερα χρόνια.