Бэкдор MQsTTang нацелен на устройства IoT, использующие системные уязвимости
MQTTang Backdoor — это троянская угроза, нацеленная на устройства Интернета вещей (IoT) и использующая протокол MQTT (Message Queuing Telemetry Transport) в качестве средства связи со своим сервером управления и контроля (C&C). Впервые он был обнаружен в 2018 году исследователями Unit 42, глобальной группы по анализу угроз в Palo Alto Networks.
MQTTang Backdoor — это сложное вредоносное ПО, использующее многоэтапный процесс заражения для уклонения от обнаружения и компрометации устройств IoT. Первый этап включает в себя сканирование Интернета на наличие уязвимых IoT-устройств, использующих протокол MQTT. Как только уязвимое устройство обнаружено, вредоносное ПО получает к нему доступ, используя известную уязвимость или используя учетные данные для входа по умолчанию.
Бэкдор MQTTang мог загружать обновления и инструкции с серверов C&C
Как только вредоносное ПО получает доступ к устройству, оно использует протокол MQTT для связи со своим сервером управления и контроля. Сервер отправляет вредоносным программам команды, которые могут включать в себя кражу данных, запуск DDoS-атак или установку дополнительных вредоносных программ. Вредоносное ПО спроектировано так, чтобы быть постоянным, что означает, что оно может пережить перезагрузку зараженного устройства и продолжить связь с сервером управления и контроля.
Одной из уникальных особенностей бэкдора MQTTang является его способность использовать протокол MQTT для связи со своим сервером управления и контроля. Протокол MQTT — это упрощенный протокол обмена сообщениями, который обычно используется в устройствах IoT, поскольку он эффективен и может работать с ограниченной пропускной способностью сети. Однако это также делает его привлекательной мишенью для авторов вредоносных программ, поскольку позволяет им взаимодействовать с зараженными устройствами, не вызывая подозрений.
Меры по смягчению последствий, помогающие защитить ваши системы от бэкдор-атаки MQTTang
Для защиты от бэкдора MQTTang и других подобных вредоносных программ важно следовать передовым методам защиты устройств IoT. Это включает в себя изменение учетных данных для входа по умолчанию, применение обновлений и исправлений программного обеспечения, как только они становятся доступными, и использование надежных паролей. Кроме того, рекомендуется использовать брандмауэры и системы обнаружения вторжений для мониторинга сетевого трафика и обнаружения любых подозрительных действий.