Kaiji Malware Brute Forces könnyen kitalálható felhasználónév és jelszó kombinációk a sikeres támadásokhoz

Az úgynevezett tárgyak internete (IoT) forradalma sokféle szempontból megváltoztatta az online ökoszisztémát, és a kiberbiztonság sem kivétel. A hackerek tudták, hogy az intelligens modulok és más tárgyak internete eszközök alig többek, mint kicsi számítógépek aprított (főleg Linux-alapú) operációs rendszerekkel, és eltökélt szándéka, hogy kihasználják ezt a tényt.

Néhány sikertelen IoT-fenyegetés jelent meg, még mielőtt Mirai a helyszínre lépett volna, és teljesen átírta a rekordkönyvet, amikor a Distributed Service of Denial (DDoS) támadásokkal kapcsolatos. A botnet óriási támadásai elég erősek voltak ahhoz, hogy az internet nagy részeit legyőzzék a világ teljes régióiban, és megmutatták, mennyire veszélyesek lehetnek a fegyveres tárgyak internete tárgyai. Azt is megmutatták mindenkinek, hogy mennyire rossz az IoT biztonsága. Gondolod, hogy eddig megtanulták volna a leckéket. Gondolod, hogy nehezebbé tettük az intelligens készülékeink feltörését. Nos, tévednél.

Kaiji - vadonatúj IoT malware család

A MalwareMustDie név alatt álló független kutatók egy csoportja nemrég botladozott Kaiji-re - az IoT rosszindulatú programjának korábban be nem jelentett törzsére. Habár még nem hallottak róla, a szakértők először valószínűleg úgy gondolták, hogy a rosszindulatú programokban az egyetlen új dolog a neve.

Mirai történelmi DDoS-támadásait követően a biztonsági közösség és a rendészeti szervek elkezdték vadászni a rosszindulatú programok szerzőit. Végül a világ legerősebb DDoS botnetjének alkotóit azonosították, de ezt megelőzően Mirai forráskódja kiszivárgott. Azóta szinte minden IoT rosszindulatú programcsalád, amely elindította a DDoS támadásokat, a Mirai-n alapult. Vannak új nevek és új összetevők, de a mag mindig nagyjából azonos, és a hírhedt Mirai-ból származik.

Kaijit azonban az alapoktól kezdve írták a Go Lang-ban. Nem egyetlen kód sor került másolásra sehol másutt, ami azt jelenti, hogy időről időre először van IoT malware család, amelyet összehasonlíthatunk a Mirai-val. Szóval, hogyan rakódik össze?

Kaiji az új Mirai?

A helyzet az, hogy jelenleg nem sokat tudunk Kaiji-ról. Az Intezer kutatói technikai jelentést írtak az új malware-ről, amely alátámasztja a MalwareMustDie gyanúját, hogy Kaiji-t kínai hackerek írták. A rosszindulatú program nyilvánvalóan készen áll különböző típusú DDoS támadások indítására, de úgy tűnik, hogy még mindig fejlesztés alatt áll. Az elemzés egy pontján az Intezer kutatói észrevették, hogy Kaiji túl sok RAM-ot fogyaszt, és később észrevették, hogy a Command & Control infrastruktúra egyes részei nem működnek - ez egyértelmű jele annak, hogy a rosszindulatú szoftverek szerzőinek még van tennivalója.

Kiválasztották azonban a kezdeti fertőzésvektorukat, és döntésük sokat mondhat nekünk nem csak Kaiji-ról, hanem az egész tárgyak interneteről.

Új rosszindulatú programok, régi trükkök

Kaiji új eszközöket fertőz meg azáltal, hogy brutálisan kényszeríti SSH bejelentkezési adataikat. Az SSH egy olyan hálózati protokoll, amely lehetővé teszi a többi eszköz távoli vezérlését, és sok helyen sokkal biztonságosabbnak tekintik, mint a Telnet, a Mirai kommunikációs protokollja intelligens eszközöket toboroz. Valójában az egyik fő különbség az, hogy az SSH kapcsolatok titkosítva vannak, de ebben az esetben ez nem számít.

Mirai és Kaiji egyaránt erőszakkal erőszakoskodnak, ami azt jelenti, hogy a támadások nem a jegyzőkönyvekre, hanem a bejelentkezési adatokra irányulnak. Az a puszta tény, hogy ezek a bejelentkezési hitelesítő adatok továbbra is érvényes fertőzésvektort tartalmaznak, az IoT biztonságának állapotáról szól. Kaiji és Mirai még az emberek rossz jelszókezelési döntéseit sem használják ki. Ehelyett kihasználják azt a tényt, hogy a túl sok eszköz továbbra is használja az alapértelmezett hitelesítő adatokat.

Az IoT eszköz gyártói könnyen kiszámítható bejelentkezési hitelesítő adatokkal bocsátják ki a piacon található eszközöket, amelyek segítségével bárki átveheti az irányítást. Abban a reményben, hogy senkit sem fog érdekelni ezeknek a speciális eszközöknek a támadása, a gyártók gyakran nem valósítják meg a gyenge jelszavak frissítésének módját, ami még inkább valószínűsíti a támadást. Még ha létezik is egy jelszó-visszaállítási mechanizmus, a felhasználók gyakran nem zavarhatják annak használatát.

Ez volt a helyzet 2016-ban, amikor Mirai megtette az első jeleit, és egyértelműen ez a helyzet most, amely azt mutatja, hogy az elmúlt négy évben semmit nem tanultunk meg.