Kaiji Malware Brute Forces Lätt att gissa Användarnamn och lösenordskombinationer för framgångsrika attacker

Den så kallade Internet of Things (IoT) -revolutionen förändrade online-ekosystemet i många olika aspekter, och cybersäkerhet är inget undantag. Hackare visste att smarta prylar och andra IoT-enheter är lite mer än små datorer med trimmade ner (mestadels Linux-baserade) operativsystem, och de var fast beslutna att utnyttja detta faktum.

Några mindre än framgångsrika IoT-hot dök upp innan Mirai träffade scenen och skrev om skivboken helt när det gäller DDoS-attacker (Distribution Denial of Service). Botnets kolossala attacker var tillräckligt kraftfulla för att få ner stora bitar av internet i hela regioner i världen, och de visade precis hur farligt vapen IoT-prylar kunde vara. De visade också alla hur dålig IoT-säkerhet är. Du skulle tro att vi hade lärt oss våra lektioner nu. Du skulle tro att vi hade gjort våra smarta enheter svårare att hacka. Du skulle ha fel.

Kaiji - en helt ny IoT-skadefamilj

En grupp oberoende forskare som heter MalwareMustDie snubblat nyligen mot Kaiji - en tidigare orapporterad stam av IoT-skadlig programvara. Även om de inte hade hört talas om det förut tänkte experterna först på att det enda nya med skadlig programvara skulle vara namnet.

Efter Mirais historiska DDoS-attacker började säkerhetsgemenskapen och brottsbekämpande myndigheter jaga skadlig programvara författare. Så småningom identifierades skaparna av världens starkaste DDoS-botnet, men innan dess läckte Mirai källkod. Ända sedan dess har praktiskt taget alla IoT-skadefamiljer som har avsett att starta DDoS-attacker varit baserade på Mirai. Det finns nya namn och nya komponenter, men kärnan är alltid ganska identisk, och den kommer från den ökända Mirai.

Kaiji skrev emellertid från grunden i Go Lang. Inte en enda kodrad har kopierats från någon annanstans, vilket betyder att vi för första gången har en IoT-skadefamiljfamilj som vi kan jämföra med Mirai. Så hur stackar det upp?

Är Kaiji den nya Mirai?

Faktum är att vi inte vet så mycket om Kaiji för tillfället. Forskare från Intezer skrev en teknisk rapport om den nya skadliga programvaran, som stöder MalwareMustDies misstank att Kaiji är skriven av kinesiska hackare. Malware är uppenbarligen beredd att starta flera olika typer av DDoS-attacker, men det verkar som om det fortfarande är under utveckling. Vid en tidpunkt under analysen märkte Intezers forskare att Kaiji konsumerade för mycket RAM, och de såg senare att delar av infrastrukturen Command & Control inte var i drift - en tydlig indikation på att skadeprogramförfattarna fortfarande har lite arbete att göra.

De har dock valt sin ursprungliga infektionsvektor och deras beslut kan berätta för oss mycket inte bara om Kaiji utan om hela IoT-landskapet.

Ny skadlig programvara, gamla trick

Kaiji infekterar nya enheter genom att tvinga sina SSH-inloggningsuppgifter. SSH är ett nätverksprotokoll som låter dig fjärrstyra andra enheter, och på många ställen ser du att det beskrivs som mycket säkrare än Telnet, kommunikationsprotokollet Mirai använder för att rekrytera smarta prylar. En av de största skillnaderna är faktiskt att SSH-anslutningar är krypterade, men i detta specifika fall spelar detta ingen roll.

Både Mirai och Kaiji tappar fram sin väg, vilket innebär att attackerna inte är inriktade på protokollen, utan på inloggningsuppgifterna. Det faktum att dessa inloggningsuppgifter fortfarande har en giltig infektionsvektor talar volymer om IoT-säkerhetens tillstånd. Kaiji och Mirai utnyttjar inte ens människors fattiga beslut om lösenordshantering. Istället drar de fördel av det faktum att alltför många enheter fortfarande använder standarduppgifter.

Tillverkarna av IoT-prylar släpper ut enheterna på marknaden med lätt att gissa inloggningsuppgifter som kan låta någon ta kontroll över dem. I hopp om att ingen skulle vara intresserad av att hacking dessa speciella prylar misslyckas ofta leverantörerna med att uppdatera de svaga lösenorden, vilket gör en attack ännu mer sannolik att lyckas. Även om det finns en mekanism för återställning av lösenord kan användare ofta inte bry sig om att använda den.

Så var fallet 2016 när Mirai gjorde sina första märken, och det är helt klart fallet nu, vilket visar att vi inte har lärt oss någonting under de senaste fyra åren.