MQsTTang Backdoor atakuje urządzenia IoT wykorzystując luki systemowe
MQTTang Backdoor to koń trojański atakujący urządzenia Internetu rzeczy (IoT) i wykorzystujący protokół MQTT (Message Queuing Telemetry Transport) jako środek komunikacji ze swoim serwerem dowodzenia i kontroli (C&C). Po raz pierwszy został odkryty w 2018 roku przez badaczy z Unit 42, globalnego zespołu ds. analizy zagrożeń w Palo Alto Networks.
MQTTang Backdoor to wyrafinowane złośliwe oprogramowanie, które wykorzystuje wieloetapowy proces infekcji w celu uniknięcia wykrycia i naruszenia bezpieczeństwa urządzeń IoT. Pierwszy etap obejmuje skanowanie Internetu w poszukiwaniu podatnych na ataki urządzeń IoT, które wykorzystują protokół MQTT. Po zidentyfikowaniu podatnego urządzenia złośliwe oprogramowanie uzyskuje do niego dostęp, wykorzystując znaną lukę w zabezpieczeniach lub używając domyślnych danych logowania.
Backdoor MQTTang mógł pobierać aktualizacje i instrukcje z serwerów C&C
Gdy złośliwe oprogramowanie uzyska dostęp do urządzenia, wykorzystuje protokół MQTT do komunikacji ze swoim serwerem dowodzenia i kontroli. Serwer wysyła polecenia do złośliwego oprogramowania, które mogą obejmować kradzież danych, przeprowadzanie ataków DDoS lub instalowanie dodatkowego złośliwego oprogramowania. Złośliwe oprogramowanie ma być trwałe, co oznacza, że może przetrwać ponowne uruchomienie zainfekowanego urządzenia i nadal komunikować się z serwerem dowodzenia i kontroli.
Jedną z unikalnych cech MQTTang Backdoor jest możliwość korzystania z protokołu MQTT do komunikacji z serwerem dowodzenia i kontroli. Protokół MQTT to lekki protokół przesyłania wiadomości, który jest powszechnie używany w urządzeniach IoT, ponieważ jest wydajny i może działać przy ograniczonej przepustowości sieci. Jednak to również czyni go atrakcyjnym celem dla autorów szkodliwego oprogramowania, ponieważ umożliwia im komunikowanie się z zainfekowanymi urządzeniami bez wzbudzania podejrzeń.
Kroki łagodzące, które pomogą chronić Twoje systemy przed atakiem backdoora MQTTang
Aby chronić się przed MQTTang Backdoor i innym podobnym złośliwym oprogramowaniem, konieczne jest przestrzeganie najlepszych praktyk w zakresie zabezpieczania urządzeń IoT. Obejmuje to zmianę domyślnych danych logowania, stosowanie aktualizacji i poprawek oprogramowania, gdy tylko staną się one dostępne, oraz używanie silnych haseł. Dodatkowo zaleca się stosowanie zapór ogniowych i systemów wykrywania włamań w celu monitorowania ruchu sieciowego i wykrywania wszelkiej podejrzanej aktywności.