ظهور نسخه‌ی جدید بدافزار Mirai

کمیته رکن چهارم – پژوهش‌گران شرکت Qihoo هشدار دادند: «یک نسخه‌ی جدید از بدافزار Mirai مشاهده شده است که مجموعه‌ی جدیدی از گواهی‌نامه‌های ورود پیش‌فرض که مختص دستگاه‌های ZyXEL هستند را هدف قرار می‌دهد.»

بدافزار Mirai در حدود یک سال پیش به طور گسترده شناخته شد، زمانی که این بدافزار شروع به نفوذ در دستگاه‌های اینترنت اشیاء و سوء استفاده از آن‌ها برای راه‌اندازی حملات منع سرویس توزیع‌شده گسترده کرد. نسخه‌ی جدید این بدافزار تا اواخر ماه گذشته دستگاه‌های زیادی را در ۱۶۴ کشور تحت تاثیر قرار داده است.

روش توزیع بدافزار Mirai این‌گونه است که این بدافزار از طریق Telnet به دنبال درگاه‌های باز مربوط به محصولات اینترنت اشیاء در اینترنت پویش کرده و تلاش می‌کند تا با استفاده از مجموعه‌ای از ترکیب‌های نام کاربری و گذرواژه به دستگاه‌هایی که شناسایی کرده متصل شود. 

در ماه آگوست سال جاری، شرکت Akamai توضیح داد: «بدافزار Mirai از شبکه‌ی کوچکی از بات‌ها و کارگزارهای دستور و کنترل تشکیل شده است و بخش‌هایی از آن می‌توانند برای اهداف متفاوتی مورد استفاده قرار بگیرند. بنابراین این بات‌نت می‌تواند در چندین حمله‌ی همزمان که هرکدام از طرف یک کارگزار دستور وکنترل متفاوت سازمان‌دهی شده‌اند، شرکت داشته باشد، و همچنین مهاجمان می‌تواند برای انجام جرایم سایبری غیرمنتظره‌ای این بات‌نت را اجاره کنند.»

شرکت Netlab به تازگی متوجه شد که ترافیک پویش درگاه‌های ۲۳۲۳ و ۲۳ افزایش یافته است و با اطمینان آن را به نسخه‌ی جدید بدافزار Mirai نسبت داد. این پژوهش‌گران همچنین کشف کردند که این نسخه‌ی جدید بدافزار به طور خاص به دنبال دستگاه‌های ZyXEL ناامن است.

به گفته‌ی این پژوهش‌گران امنیتی، این پویش‌گر در تلاش است تا از دو گواهی‌نامه‌ی ورود پیش‌فرص جدید به نام‌های admin/CentryL۱nk و admin/QwestM۰dem سوء استفاده کند.

پژوهش‌گران شرکت Netlab متوجه شدند که سوء استفاده از این دو گواهی‌نامه‌ی ورود از تاریخ ۲۲ نوامبر شروع شده و در روز بعد به بیشترین مقدار خود رسیده است، در حالی که ترافیک پویش درگاه‌های ۲۳ و ۲۳۲۳ نیز در همان مدت زمانی رشد کرده است. بنابراین این پژوهش‌گران استنتاج کردند که این دو رویداد مرتبط هستند.

این پژوهش‌گران امنیتی همچنین اظهار کردند: «به نظر می‌رسد که بیشتر این پویش‌گرها در آرژانتین قرار دارند (براساس آی‌پی)، چرا که در مدت حدود سه روز نزدیک به ۱۰۰ هزار پویش‌گر منحصربه‌فرد از این کشور مشاهده شده است. این مسأله باعث می‌شود که ما استنتاج کنیم که ممکن است است حمله روی انواع خاصی از دستگاه‌های اینترنت اشیاء که به طور گسترده‌ای در آرژانتین مستقر شده‌اند، تمرکز کرده باشد.»

سال گذشته بدافزار Mirai در حمله‌ی مشابهی شرکت داشت که در نتیجه‌ی آن حدود ۱ میلیون نفر از مشتریان شبکه‌های ثابت Deutsche Telekom با اختلالات اینترنت مواجه شدند.

منبع : news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.