Легкие в угадывании сочетания имени пользователя и пароля для успешных атак.

Так называемая революция Интернета вещей (IoT) изменила онлайн-экосистему во многих аспектах, и кибербезопасность не является исключением. Хакеры знали, что умные гаджеты и другие устройства IoT - это не что иное, как маленькие компьютеры с урезанными (в основном на основе Linux) операционными системами, и они были полны решимости использовать этот факт.

Несколько менее успешных угроз IoT появились до того, как Mirai вышел на сцену и полностью переписал книгу рекордов, когда дело доходит до атак распределенного отказа в обслуживании (DDoS). Колоссальные атаки ботнета были достаточно мощными, чтобы обрушить большие куски интернета во всех регионах мира, и они показали, насколько опасными могут быть гаджеты с использованием Интернета. Они также показали всем, насколько плохое состояние безопасности IoT. Вы бы подумали, что мы уже усвоили наши уроки. Вы могли бы подумать, что мы сделали бы наши умные устройства более трудными для взлома. Ну, ты ошибаешься.

Kaiji - новое семейство вредоносных программ IoT

Группа независимых исследователей под названием MalwareMustDie недавно наткнулась на Kaiji - ранее не сообщавшийся штамм IoT-вредоносных программ. Хотя они и не слышали об этом раньше, эксперты, вероятно, сначала подумали, что единственной новой вещью о вредоносном ПО будет название.

После исторических DDoS-атак Mirai, сообщество безопасности и правоохранительные органы начали преследовать авторов вредоносных программ. В конце концов, были определены создатели самого мощного в мире DDoS-ботнета, но до этого исходный код Mirai был пропущен. С тех пор практически все семейства вредоносных программ IoT, которые намеревались запустить DDoS-атаки, были основаны на Mirai. Есть новые имена и новые компоненты, но ядро всегда в значительной степени идентично, и оно происходит от печально известного Mirai.

Кайдзи, однако, был написан с нуля на Go Lang. Ни одна строка кода не была скопирована откуда-либо еще, что означает, что впервые за последнее время у нас появилось семейство вредоносных программ IoT, которое мы можем сравнить с Mirai. Итак, как это складывается?

Кайдзи - новый Мирай?

Дело в том, что на данный момент мы не так много знаем о Кайдзи. Исследователи из Intezer написали технический отчет о новом вредоносном ПО, который поддерживает подозрение MalwareMustDie о том, что Kaiji было написано китайскими хакерами. Похоже, что вредоносная программа готова к запуску нескольких различных типов атак DDoS, но, похоже, она все еще находится в стадии разработки. В какой-то момент в ходе анализа исследователи Intezer заметили, что Kaiji потреблял слишком много оперативной памяти, и позже они увидели, что некоторые части инфраструктуры Command & Control не работают - явное свидетельство того, что авторам вредоносного ПО еще предстоит проделать определенную работу.

Однако они выбрали свой первоначальный вектор заражения, и их решение может многое рассказать нам не только о Кайдзи, но и о всей среде IoT.

Новые вредоносные программы, старые хитрости

Kaiji заражает новые устройства, перебивая их учетные данные SSH. SSH - это сетевой протокол, который позволяет вам удаленно управлять другими устройствами, и во многих местах вы увидите, что он описан как гораздо более безопасный, чем Telnet, протокол связи, который Mirai использует для набора интеллектуальных гаджетов. Действительно, одно из основных отличий заключается в том, что SSH-соединения зашифрованы, но в данном конкретном случае это не имеет значения.

И Mirai, и Kaiji грубо форсируют свой путь, что означает, что атаки направлены не на протоколы, а на учетные данные для входа. Тот факт, что эти учетные данные для входа в систему по-прежнему представляют собой действительный вектор заражения, говорит о многом о состоянии безопасности IoT. Kaiji и Mirai даже не используют плохие решения по управлению паролями. Вместо этого они используют тот факт, что слишком многие устройства все еще используют учетные данные по умолчанию.

Производители гаджетов IoT выпускают устройства на рынок с легко угадываемыми учетными данными, которые могут позволить кому-либо управлять ими. Надеясь, что никто не будет заинтересован во взломе этих конкретных гаджетов, производители часто не в состоянии реализовать способ обновления слабых паролей, что повышает вероятность успеха атаки. Даже если есть механизм сброса пароля, пользователи часто не могут его использовать.

Так было в 2016 году, когда Mirai сделал свои первые оценки, и сейчас это очевидно, что говорит о том, что мы ничего не узнали за последние четыре года.