Kaiji Malware Brute Forces Kombinasjoner som er enkle å gjette brukernavn og passord for vellykkede angrep

Den såkalte Internet of Things (IoT) -revolusjonen endret det elektroniske økosystemet i mange forskjellige aspekter, og cybersecurity er intet unntak. Hackere visste at smarte dingser og andre IoT-enheter er lite mer enn små datamaskiner med avskjært (hovedsakelig Linux-baserte) operativsystemer, og de var fast bestemt på å utnytte dette faktum.

Noen få mindre enn vellykkede IoT-trusler dukket opp før Mirai traff scenen og skrev rekordbok fullstendig om når det gjelder Distribuerte Denial of Service (DDoS) angrep. Botnets kolossale angrep var kraftige nok til å få ned store biter av internett i hele regioner i verden, og de viste hvor farlige våpnede IoT-dingser kunne være. De viste også alle hvor dårlig IoT-sikkerhet er. Du skulle tro at vi hadde lært leksjonene våre nå. Du skulle tro at vi hadde gjort smarte enhetene våre vanskeligere å hacke. Vel, du vil ta feil.

Kaiji - en helt ny IoT malware-familie

En gruppe uavhengige forskere som het MalwareMustDie, nylig snublet over Kaiji - en tidligere urapportert stamme av IoT-malware. Selv om de ikke hadde hørt om det før, trodde ekspertene antagelig med det første at det eneste nye med malware var navnet.

Etter Mirais historiske DDoS-angrep begynte sikkerhetssamfunnet og rettshåndhevelsesbyråer å jakte på malware-forfatterne. Etter hvert ble skaperne av verdens kraftigste DDoS botnet identifisert, men før det ble Mirais kildekode lekket. Helt siden den gang har så godt som alle IoT-skadeprogrammer som har satt seg for å sette i gang DDoS-angrep, vært basert på Mirai. Det er nye navn og nye komponenter, men kjernen er alltid ganske mye identisk, og den kommer fra den beryktede Mirai.

Kaiji ble imidlertid skrevet fra grunnen av i Go Lang. Ikke en eneste kodelinje er blitt kopiert fra andre steder, noe som betyr at vi for første gang på en stund har en IoT malware-familie som vi kan sammenligne med Mirai. Så hvordan stables det opp?

Er Kaiji den nye Mirai?

Faktum er at vi ikke vet så mye om Kaiji for øyeblikket. Forskere fra Intezer skrev en teknisk rapport om den nye malware, som støtter MalwareMustDies mistanke om at Kaiji ble skrevet av kinesiske hackere. Malware er tilsynelatende forberedt på å starte flere forskjellige typer DDoS-angrep, men det ser ut til at det fortsatt er under utvikling. På et tidspunkt under analysen la Intezers forskere merke til at Kaiji konsumerte for mye RAM, og de så senere at deler av Command & Control-infrastrukturen ikke var i drift - en klar indikasjon på at malware-forfatterne fortsatt har noe arbeid å gjøre.

De har imidlertid valgt sin første infeksjonsvektor, og avgjørelsen deres kan fortelle oss mye ikke bare om Kaiji, men om hele IoT-landskapet.

Ny malware, gamle triks

Kaiji infiserer nye enheter ved å tvinge sine SSH-påloggingsinformasjon. SSH er en nettverksprotokoll som lar deg fjernstyre andre enheter, og mange steder vil du se den beskrevet som mye sikrere enn Telnet, kommunikasjonsprotokollen Mirai bruker for å rekruttere smarte dingser. En av de viktigste forskjellene er faktisk at SSH-tilkoblinger er kryptert, men i dette spesielle tilfellet betyr ikke dette noe.

Både Mirai og Kaiji brute-force sin måte som betyr at angrepene ikke er rettet mot protokollene, men på innloggingsinformasjon. Det faktum at disse påloggingsinformasjonene fremdeles har en gyldig infeksjonsvektor, taler bind om tilstanden til IoT-sikkerhet. Kaiji og Mirai utnytter ikke engang folks dårlige beslutninger om passordadministrasjon. I stedet drar de fordel av det faktum at altfor mange enheter fremdeles bruker standardopplysninger.

Produsentene av IoT-dingser slipper ut enhetene på markedet med lett å gjette påloggingsinformasjon som kan la noen ta kontroll over dem. I håp om at ingen ville være interessert i å hacke disse spesielle gadgetsene, klarer ofte ikke leverandører å implementere en måte å oppdatere de svake passordene på, noe som gjør et angrep enda mer sannsynlig å lykkes. Selv om det er en mekanisme for tilbakestilling av passord, kan brukerne ofte ikke bry seg om å bruke den.

Dette var tilfelle i 2016 da Mirai gjorde sine første markeringer, og det er helt klart tilfelle nå, som viser at vi ikke har lært noe de siste fire årene.