Az MQsTTang Backdoor a rendszer sebezhetőségeit kihasználó IoT-eszközöket célozza meg
Az MQTTang Backdoor egy trójai faló fenyegetés, amely a tárgyak internete (IoT) eszközöket célozza meg, és az MQTT (Message Queuing Telemetry Transport) protokollt használja kommunikációs eszközként a parancs- és vezérlőkiszolgálójával (C&C). Először 2018-ban fedezték fel a 42-es egység kutatói, a Palo Alto Networks globális fenyegetésekkel foglalkozó hírszerző csoportja.
Az MQTTang Backdoor egy kifinomult rosszindulatú program, amely többlépcsős fertőzési folyamatot használ az észlelés elkerülésére és az IoT-eszközök veszélyeztetésére. Az első szakaszban az interneten meg kell keresni az MQTT protokollt használó sebezhető IoT-eszközöket. A sebezhető eszköz azonosítása után a rosszindulatú program egy ismert sérülékenység kihasználásával vagy az alapértelmezett bejelentkezési adatok használatával fér hozzá.
Az MQTTang Backdoor frissítéseket és utasításokat tölthet le a C&C szerverekről
Amint a rosszindulatú program hozzáfér az eszközhöz, az MQTT protokoll segítségével kommunikál a parancs- és vezérlőszerverével. A szerver parancsokat küld a rosszindulatú programnak, amely magában foglalhatja az adatok ellopását, DDoS támadások indítását vagy további rosszindulatú programok telepítését. A kártevőt úgy tervezték, hogy tartós legyen, ami azt jelenti, hogy túléli a fertőzött eszköz újraindítását, és továbbra is kommunikál a parancs- és vezérlőkiszolgálóval.
Az MQTTang Backdoor egyik egyedülálló tulajdonsága, hogy képes az MQTT protokollt használni a parancs- és vezérlőkiszolgálóval való kommunikációhoz. Az MQTT protokoll egy könnyű üzenetküldési protokoll, amelyet általában az IoT-eszközökben használnak, mivel hatékony és korlátozott hálózati sávszélesség mellett is működik. Ez azonban vonzó célponttá is teszi a kártevők szerzői számára, mert lehetővé teszi számukra, hogy gyanú nélkül kommunikáljanak a fertőzött eszközökkel.
Mérséklő lépések, amelyek segítenek megvédeni rendszereit az MQTTang Backdoor támadástól
Az MQTTang Backdoor és más hasonló rosszindulatú programok elleni védelem érdekében elengedhetetlen az IoT-eszközök biztonságának bevált gyakorlatainak követése. Ez magában foglalja az alapértelmezett bejelentkezési adatok megváltoztatását, a szoftverfrissítések és javítások alkalmazását, amint azok elérhetővé válnak, valamint erős jelszavak használatát. Ezenkívül ajánlott tűzfalak és behatolásérzékelő rendszerek használata a hálózati forgalom figyelésére és a gyanús tevékenységek észlelésére.