Noul atac botnet “pune alte botnet-uri IoT la rușine”
un nou botnet distructiv care compromite dispozitivele vulnerabile Internet of Things (IoT) și le deturnează resursele pentru a efectua atacuri devastatoare de tip Distributed Denial of Service (DDoS) este raportat de firma de cercetare în securitate Bitdefender. Botnet-ul IoT, pe care compania l-a numit “dark_nexus”, a fost recent găsit în sălbăticie și adoptă noi abordări inovatoare și periculoase pentru a ataca cu succes infrastructura IT.
vedea: Cybersecurity: să obținem tactical (PDF gratuit) (TechRepublic)
“analiza noastră a stabilit că, deși dark_nexus reutilizează unele coduri Qbot și Mirai, modulele sale de bază sunt în mare parte originale”, a spus Bitdefender într-o carte albă de 22 de pagini publicată pe 8 aprilie despre atacuri, “noul Botnet dark_nexus IoT îi face pe alții de rușine.”În timp ce unele dintre caracteristicile sale pot fi partajate cu botnet-urile IoT cunoscute anterior, modul în care unele dintre modulele sale au fost dezvoltate face ca dark_nexus să fie semnificativ mai puternic și mai robust, se arată în raport.
“de exemplu, sarcinile utile sunt compilate pentru 12 arhitecturi CPU diferite și livrate dinamic pe baza configurației victimei”, folosind în același timp o tehnică menită să asigure “supremația” pe dispozitivul compromis, potrivit raportului. “În mod unic, dark_nexus folosește un sistem de notare bazat pe greutăți și praguri pentru a evalua ce procese ar putea prezenta un risc. Aceasta implică menținerea unei liste de procese pe lista albă și a sistemelor lor de detectare a intruziunilor perimetrale (PID) și uciderea oricărui alt proces care trece pragul suspiciunii.”
botnet-ul dark_nexus, care cuprinde cel puțin 1.352 de roboți, se pare că a fost dezvoltat de un cunoscut autor de botnet care vinde servicii DDoS și cod botnet de ani de zile Online altor atacatori pentru profit.
Bogdan Botezatu, director de cercetare și raportare a amenințărilor pentru Bitdefender, a declarat că atacurile DDoS lansate de acest botnet pot permite atacatorilor să controleze dispozitivele deturnate, solicitând tuturor dispozitivelor compromise din botnet să viziteze simultan o pagină web sau un serviciu web, care poate zdrobi acel server sub volumul de muncă.
“victimele nici măcar nu vor fi conștiente de faptul că dispozitivele lor sunt folosite ca arme împotriva unor ținte inofensive pe internet, chiar dacă rezultatele ar putea fi catastrofale pentru victime sau pentru buna funcționare a Internetului”, a spus Botezatu. “În 2016, un grup de adolescenți au folosit dispozitive IoT deturnate pentru a lansa un atac devastator împotriva infrastructurii de internet de bază care a perturbat Internetul în SUA timp de aproximativ o zi, eliminând companiile Fortune 500 offline și provocând pierderi financiare imposibil de estimat.”
atacurile DDoS pot fi lansate împotriva serverelor, serviciilor sau rețelelor pentru a le inunda cu trafic, eliminând operațiunile lor tipice.
botnetul dark_nexus este promovat spre vânzare pe YouTube, cu prețuri anunțate de aproximativ 18,50 USD pe lună pentru 2.500 de secunde de timp de pornire, a spus el. Pentru aproximativ 99 de dolari pe lună, atacatorii pot cumpăra acces nelimitat, făcând botnetul accesibil oricui are 20 de dolari și abilități informatice destul de de bază pentru a-și lansa propriile întreruperi.
“botmasterii IoT intră în concurență directă între ei și conduc inovația în dispozitivele compromițătoare, menținând persistența și rămânând competitivi pe piață”, a spus Botezatu. “Ei vin cu mecanisme de infectare mai bune decât concurenții, tehnici de marketing mai bune și prețuri mai mici de închiriere, ceea ce face ca DDoS să fie accesibil pentru toată lumea.”
pentru a combate atacurile din botnet-ul dark_nexus, consumatorii și companiile trebuie să-și auditeze constant rețelele interne pentru a identifica dispozitivele IoT conectate și pentru a efectua evaluări ale vulnerabilității pentru a descoperi dispozitive nepatchate sau configurate greșit înainte ca atacatorii să o facă”, a spus Botezatu. “Deoarece standardele și reglementările IoT sunt probabil la câțiva ani distanță, consumatorul IoT este cel care poartă responsabilitatea pentru infrastructura lor.”
lipsa globală a standardelor de securitate IoT necesare, care ar întări dispozitivele IoT și le-ar face mai puțin vulnerabile la atacuri, este un eșec imens în industrie și permite ca aceste tipuri de atacuri botnet să aibă succes și să fie profitabile pentru hackeri.
vezi: securizarea IoT în organizația ta: 10 cele mai bune practici (PDF gratuit) (TechRepublic)
între timp, astfel de atacuri pot fi oprite prin utilizarea dispozitivelor de securitate IoT care pot viza și apăra astfel de atacuri la nivel de rețea prin detectarea traficului anormal și prin utilizarea dispozitivelor patch-uri continue care imunizează eficient sistemele împotriva intruziunilor reușite, a spus el. Utilizatorii își pot proteja, de asemenea, sistemele dezactivând implicit porturile Telnet și SSH.
“din păcate, deoarece majoritatea furnizorilor de IoT văd securitatea cibernetică ca un gând ulterior, botnet-urile IoT continuă să prospere, să crească și să aibă impact asupra organizațiilor, creând pierderi semnificative de funcționare și timpi morți”, a spus el.
versiunile anterioare ale dark_nexus vechi de aproximativ 3 luni au folosit exploatări pentru propagare, dar acum botnetul se propagă numai prin forță brută folosind protocolul Telnet, a spus Botezatu. “Acesta este un fruct cu agățare redusă, deoarece oferă cel mai mare număr de încălcări cu cel mai mic cost și efort”, a spus el.
vezi: forța brută și atacurile dicționarului: O foaie de înșelătorie (PDF gratuit) (TechRepublic)
mai mult de 50% dintre acești roboți sunt originari din China, Coreea și Thailanda, a spus Botezatu. “Această listă include câteva combinații neobișnuite pe care nu le-am văzut anterior în uz de roboți, ceea ce, în opinia noastră, sugerează că autorul dark_nexus a depus un efort în compilarea acesteia. Botnet-ul nu pare să vizeze nicio gamă IP în special, mai degrabă, funcția de generare aleatorie funcționează folosind o listă neagră similară cu cea a Mirai.”
de asemenea, a se vedea
- Cum de a deveni un pro cybersecurity: O foaie de cheat (TechRepublic)
- Mastermind con man în spatele Prinde-mă dacă poți vorbește cybersecurity (descărcare TechRepublic)
- securitate Windows 10: Un ghid pentru liderii de afaceri (TechRepublic Premium)
- securitate Online 101: Sfaturi pentru protejarea confidențialității dvs. împotriva hackerilor și spionilor (ZDNet)
- toți termenii VPN pe care trebuie să-i cunoașteți (CNET)
- securitatea cibernetică și războiul cibernetic: mai multă acoperire obligatorie (TechRepublic pe Flipboard)
