Kaiji kenkėjiška programinė įranga verčia lengvai atspėti vartotojo vardo ir slaptažodžio derinius sėkmingoms atakoms

Vadinamoji daiktų interneto (IoT) revoliucija pakeitė internetinę ekosistemą įvairiais aspektais, o kibernetinis saugumas nėra išimtis. Piratai žinojo, kad išmanieji įtaisai ir kiti daiktų internetiniai įrenginiai yra šiek tiek daugiau nei maži kompiuteriai su sutrumpintomis (dažniausiai „Linux“ pagrįstomis) operacinėmis sistemomis, ir jie buvo pasiryžę išnaudoti šį faktą.

Keletas mažiau nei sėkmingų IoT grėsmių pasirodė prieš tai, kai Mirai pateko į sceną ir visiškai perrašė įrašų knygą, kai kalbama apie „Distributed Denial of Service“ (DDoS) išpuolius. Didelės apimties roboto tinklo išpuoliai buvo pakankamai galingi, kad sunaikintų didelius interneto gabalus ištisuose pasaulio regionuose, ir jie parodė, koks pavojingas gali būti ginkluotas IoT įtaisas. Jie taip pat visiems parodė, kokia bloga yra internetinė interneto apsauga. Jūs manote, kad jau išmokome pamokas. Galvojate, kad mes padarėme savo išmaniuosius įrenginius sudėtingesnius nulaužti. Na, jūs klystate.

„Kaiji“ - visiškai nauja daiktų interneto kenkėjiškų programų šeima

Nepriklausomų mokslininkų vyksta pagal Grupė MalwareMustDie neseniai szarpnęły Kaiji - anksčiau nepranešta įtampą DI kenkėjiškų programų. Nors anksčiau apie tai jie nebuvo girdėję, ekspertai tikriausiai iš pradžių manė, kad vienintelis naujas dalykas apie kenkėjišką programą bus vardas.

Po Mirai istorinių DDoS išpuolių saugumo bendruomenė ir teisėsaugos agentūros pradėjo medžioti kenkėjiškų programų autorius. Galų gale buvo nustatyti galingiausio pasaulyje „DDoS“ botneto kūrėjai, tačiau prieš tai buvo nutekintas „Mirai“ šaltinio kodas. Nuo tada beveik visos IoT kenkėjiškų programų šeimos, pradėjusios pradėti DDoS atakas, buvo paremtos Mirai. Yra naujų pavadinimų ir naujų komponentų, tačiau šerdis visada yra beveik identiška, ir ji kilusi iš liūdnai pagarsėjusio „Mirai“.

Kaiji buvo parašyta Go Lange nuo pat pradžių. Nei viena kodo eilutė nebuvo nukopijuota iš niekur, o tai reiškia, kad pirmą kartą per tam tikrą laiką turime IoT kenkėjiškų programų šeimą, kurią galime palyginti su Mirai. Taigi, kaip jis sukraunamas?

Ar Kaiji yra naujasis Mirai?

Faktas yra tas, kad šiuo metu apie Kaiji mes nežinome tiek daug. „ Intezer“ tyrėjai parašė techninę ataskaitą apie naują kenkėjišką programą, kuri patvirtina „MalwareMustDie“ įtarimą, kad Kaiji parašė kinų įsilaužėliai. Kenkėjiška programa, matyt, yra pasirengusi paleisti kelis skirtingus DDoS išpuolių tipus, tačiau panašu, kad ji vis dar kuriama. Vienu metu analizės metu „Intezer“ tyrėjai pastebėjo, kad Kaiji sunaudoja per daug RAM, ir vėliau jie pamatė, kad „Command & Control“ infrastruktūros dalys neveikia - tai yra aiškus požymis, kad kenkėjiškų programų autoriai dar turi ką nuveikti.

Tačiau jie pasirinko pradinį užkrėtimo vektorių, ir jų sprendimas gali daug pasakyti ne tik apie Kaiji, bet ir apie visą daiktų interneto aplinką.

Nauja kenkėjiška programa, seni gudrybės

Kaiji užkrečia naujus įrenginius, brutaliai versdamas savo SSH prisijungimo duomenis. SSH yra tinklo protokolas, leidžiantis nuotoliniu būdu valdyti kitus įrenginius, ir daugelyje vietų jį pamatysite apibūdinantį kaip daug saugesnį nei „Telnet“, ryšių protokolą „Mirai“ naudoja įdarbindamas išmaniąsias programėles. Iš tiesų, vienas iš pagrindinių skirtumų yra tas, kad SSH jungtys yra užšifruotos, tačiau šiuo atveju tai nesvarbu.

Tiek Mirai, tiek Kaiji žiauriai verčia savo jėgas, o tai reiškia, kad išpuoliai yra nukreipti ne į protokolus, o į prisijungimo duomenis. Vien faktas, kad šie prisijungimo kredencialai vis dar pateikia galiojantį užkrėtimo vektorių, kalba apie daiktų internetinio saugumo būklę. Kaiji ir Mirai net neišnaudoja žmonių prastų slaptažodžių tvarkymo sprendimų. Jie naudojasi tuo, kad per daug įrenginių vis dar naudoja numatytuosius kredencialus.

„IoT“ dalykėlių gamintojai išleidžia rinkoje esančius įrenginius lengvai atspėjamais prisijungimo duomenimis, kurie kiekvienam galėtų leisti juos valdyti. Tikėdamiesi, kad niekam nebus įdomu nulaužti šias konkrečias programėles, pardavėjai dažnai nesugeba įdiegti silpnų slaptažodžių atnaujinimo būdo, dėl kurio ataka tampa dar labiau tikėtina. Net jei yra slaptažodžio nustatymo iš naujo mechanizmas, vartotojai dažnai nesivargina juo naudotis.

Tai buvo atvejis 2016 m., Kai „Mirai“ padarė savo pirmuosius ženklus, ir akivaizdu, kad dabar, kuris rodo, kad per pastaruosius ketverius metus nieko neišmokome.