MQsTTang bakdør målretter mot IoT-enheter som utnytter systemsårbarheter
MQTTang Backdoor er en trojansk hesttrussel som retter seg mot Internet of Things (IoT)-enheter og bruker MQTT (Message Queuing Telemetry Transport)-protokollen som et kommunikasjonsmiddel med sin kommando- og kontrollserver (C&C). Det ble først oppdaget i 2018 av forskere ved Unit 42, det globale trusseletterretningsteamet ved Palo Alto Networks.
MQTTang Backdoor er en sofistikert skadelig programvare som bruker en flertrinns infeksjonsprosess for å unngå oppdagelse og kompromittere IoT-enheter. Det første trinnet innebærer å skanne internett etter sårbare IoT-enheter som bruker MQTT-protokollen. Når en sårbar enhet er identifisert, får skadelig programvare tilgang til den ved å utnytte en kjent sårbarhet eller ved å bruke standard påloggingsinformasjon.
MQTTang Backdoor kunne laste ned oppdateringer og instruksjoner fra C&C-servere
Når skadelig programvare får tilgang til enheten, bruker den MQTT-protokollen til å kommunisere med kommando- og kontrollserveren. Serveren sender kommandoer til skadelig programvare, som kan omfatte å stjele data, starte DDoS-angrep eller installere ytterligere skadelig programvare. Skadevaren er designet for å være vedvarende, noe som betyr at den kan overleve en omstart av den infiserte enheten og fortsette å kommunisere med kommando- og kontrollserveren.
En av de unike egenskapene til MQTTang Backdoor er dens evne til å bruke MQTT-protokollen til å kommunisere med kommando- og kontrollserveren. MQTT-protokollen er en lett meldingsprotokoll som ofte brukes i IoT-enheter fordi den er effektiv og kan fungere med begrenset nettverksbåndbredde. Dette gjør det imidlertid også til et attraktivt mål for forfattere av skadelig programvare fordi det lar dem kommunisere med infiserte enheter uten å vekke mistanke.
Begrensningstrinn for å hjelpe til med å beskytte systemene dine mot et MQTTang-bakdørsangrep
For å beskytte mot MQTTang Backdoor og annen lignende skadelig programvare, er det viktig å følge beste praksis for å sikre IoT-enheter. Dette inkluderer endring av standard påloggingsinformasjon, bruk av programvareoppdateringer og patcher så snart de blir tilgjengelige, og bruk av sterke passord. I tillegg anbefales det å bruke brannmurer og inntrengningsdeteksjonssystemer for å overvåke nettverkstrafikk og oppdage mistenkelig aktivitet.