„MQsTTang Backdoor“ taikosi į daiktų interneto įrenginius, išnaudojančius sistemos pažeidžiamumą
MQTTang Backdoor yra Trojos arklio grėsmė, kuri nukreipta į daiktų interneto (IoT) įrenginius ir naudoja MQTT (Message Queuing Telemetry Transport) protokolą kaip ryšio priemonę su savo komandų ir valdymo (C&C) serveriu. Pirmą kartą jį 2018 m. atrado „Palo Alto Networks“ pasaulinės grėsmės žvalgybos grupės „Unit 42“ tyrėjai.
MQTTang Backdoor yra sudėtinga kenkėjiška programa, kuri naudoja kelių etapų užkrėtimo procesą, kad išvengtų aptikimo ir pažeistų daiktų interneto įrenginius. Pirmasis etapas apima interneto nuskaitymą, ar nėra pažeidžiamų IoT įrenginių, naudojančių MQTT protokolą. Nustačius pažeidžiamą įrenginį, kenkėjiška programa gauna prieigą prie jo išnaudodama žinomą pažeidžiamumą arba naudodama numatytuosius prisijungimo duomenis.
MQTTang Backdoor galėtų atsisiųsti naujinimus ir instrukcijas iš C&C serverių
Kai kenkėjiška programa gauna prieigą prie įrenginio, ji naudoja MQTT protokolą bendrauti su savo komandų ir valdymo serveriu. Serveris kenkėjiškajai programai siunčia komandas, kurios gali apimti duomenų vagystę, DDoS atakų paleidimą arba papildomos kenkėjiškos programos įdiegimą. Kenkėjiška programa sukurta taip, kad būtų nuolatinė, o tai reiškia, kad ji gali išgyventi iš naujo paleidus užkrėstą įrenginį ir toliau palaikyti ryšį su komandų ir valdymo serveriu.
Viena iš unikalių MQTTang Backdoor ypatybių yra jos galimybė naudoti MQTT protokolą bendrauti su savo komandų ir valdymo serveriu. MQTT protokolas yra lengvas pranešimų siuntimo protokolas, kuris dažniausiai naudojamas daiktų interneto įrenginiuose, nes yra efektyvus ir gali veikti esant ribotam tinklo pralaidumui. Tačiau tai taip pat tampa patraukliu kenkėjiškų programų autorių taikiniu, nes tai leidžia jiems bendrauti su užkrėstais įrenginiais nesukeliant įtarimo.
Sušvelninimo veiksmai, padėsiantys apsaugoti jūsų sistemas nuo MQTTang Backdoor atakos
Norint apsisaugoti nuo MQTTang Backdoor ir kitų panašių kenkėjiškų programų, būtina laikytis geriausios daiktų interneto įrenginių apsaugos praktikos. Tai apima numatytųjų prisijungimo kredencialų keitimą, programinės įrangos naujinių ir pataisų taikymą, kai tik jie tampa prieinami, ir stiprių slaptažodžių naudojimą. Be to, norint stebėti tinklo srautą ir aptikti bet kokią įtartiną veiklą, rekomenduojama naudoti užkardas ir įsibrovimų aptikimo sistemas.
