Το MQsTTang Backdoor στοχεύει συσκευές IoT που εκμεταλλεύονται ευπάθειες συστήματος
Το MQTTang Backdoor είναι μια απειλή δούρειου ίππου που στοχεύει συσκευές Internet of Things (IoT) και χρησιμοποιεί το πρωτόκολλο MQTT (Message Queuing Telemetry Transport) ως μέσο επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C&C). Ανακαλύφθηκε για πρώτη φορά το 2018 από ερευνητές στη Μονάδα 42, την ομάδα πληροφοριών παγκόσμιας απειλής στο Palo Alto Networks.
Το MQTTang Backdoor είναι ένα εξελιγμένο κακόβουλο λογισμικό που χρησιμοποιεί μια διαδικασία μόλυνσης πολλαπλών σταδίων για να αποφύγει τον εντοπισμό και να θέσει σε κίνδυνο συσκευές IoT. Το πρώτο στάδιο περιλαμβάνει τη σάρωση του Διαδικτύου για ευάλωτες συσκευές IoT που χρησιμοποιούν το πρωτόκολλο MQTT. Μόλις εντοπιστεί μια ευάλωτη συσκευή, το κακόβουλο λογισμικό αποκτά πρόσβαση σε αυτήν εκμεταλλευόμενη μια γνωστή ευπάθεια ή χρησιμοποιώντας προεπιλεγμένα διαπιστευτήρια σύνδεσης.
Το MQTTang Backdoor θα μπορούσε να κατεβάσει ενημερώσεις και οδηγίες από διακομιστές C&C
Μόλις το κακόβουλο λογισμικό αποκτήσει πρόσβαση στη συσκευή, χρησιμοποιεί το πρωτόκολλο MQTT για να επικοινωνήσει με τον διακομιστή εντολών και ελέγχου του. Ο διακομιστής στέλνει εντολές στο κακόβουλο λογισμικό, οι οποίες μπορεί να περιλαμβάνουν την κλοπή δεδομένων, την εκτόξευση επιθέσεων DDoS ή την εγκατάσταση πρόσθετου κακόβουλου λογισμικού. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να είναι μόνιμο, πράγμα που σημαίνει ότι μπορεί να επιβιώσει από την επανεκκίνηση της μολυσμένης συσκευής και να συνεχίσει να επικοινωνεί με τον διακομιστή εντολών και ελέγχου.
Ένα από τα μοναδικά χαρακτηριστικά του MQTTang Backdoor είναι η ικανότητά του να χρησιμοποιεί το πρωτόκολλο MQTT για να επικοινωνεί με τον διακομιστή εντολών και ελέγχου του. Το πρωτόκολλο MQTT είναι ένα ελαφρύ πρωτόκολλο ανταλλαγής μηνυμάτων που χρησιμοποιείται συνήθως σε συσκευές IoT επειδή είναι αποτελεσματικό και μπορεί να λειτουργήσει με περιορισμένο εύρος ζώνης δικτύου. Ωστόσο, αυτό το καθιστά επίσης ελκυστικό στόχο για τους δημιουργούς κακόβουλου λογισμικού, επειδή τους επιτρέπει να επικοινωνούν με μολυσμένες συσκευές χωρίς να προκαλεί υποψίες.
Βήματα μετριασμού που βοηθούν στην προστασία των συστημάτων σας από μια επίθεση MQTTang Backdoor
Για την προστασία από το MQTTang Backdoor και άλλο παρόμοιο κακόβουλο λογισμικό, είναι απαραίτητο να ακολουθείτε τις βέλτιστες πρακτικές για την ασφάλεια των συσκευών IoT. Αυτό περιλαμβάνει την αλλαγή των προεπιλεγμένων διαπιστευτηρίων σύνδεσης, την εφαρμογή ενημερώσεων λογισμικού και ενημερώσεων κώδικα μόλις γίνουν διαθέσιμα και τη χρήση ισχυρών κωδικών πρόσβασης. Επιπλέον, συνιστάται η χρήση τείχους προστασίας και συστημάτων ανίχνευσης εισβολής για την παρακολούθηση της κυκλοφορίας του δικτύου και τον εντοπισμό τυχόν ύποπτης δραστηριότητας.
