Специалисты «Лаборатории Касперского» анализируют первый распространитель вредоносных программ Mirai на базе Windows в рамках согласованных усилий по ликвидации ботнетов Mirai. Бот для Windows, по-видимому, был создан разработчиком с более продвинутыми навыками, чем у злоумышленников, которые организовали массовые DDoS-атаки с помощью Mirai в конце 2016 года, что может иметь тревожные последствия для жертв атак с использованием Мirai.
Распространитель на базе Windows надежнее, чем оригинальная кодовая база Mirai, но большая часть компонентов, методов и функциональности нового распространителя существуют уже несколько лет. Его способность распространять вредоносные программы Mirai ограничена: он может доставить боты Mirai только с зараженного Windows-хоста на уязвимое IoT-устройство Linux, если сможет успешно подключиться к удаленному Telnet-соединению.
Несмотря на это ограничение, код явно создал опытный разработчик, хотя, скорее всего, новичок в Mirai. Такие компоненты, как языковые подсказки в ПО, и то, что код составлялся на китайской системе, а хост-серверы обслуживались на Тайване, а также злоупотребление крадеными у китайских компаний сертификатами подписи кода, свидетельствуют о том, что разработчик, скорее всего, выходец из Китая.
"Появление кроссовера Mirai между платформами Linux и Windows — реальная проблема, как и появление более опытных разработчиков. Выпуск исходного кода для банковского троянца Zeus в 2011 году вылился в многолетние проблемы для сетевого сообщества, а выпуск исходного кода IoT-бота Mirai в 2016 году выльется в то же самое для интернета. Опытные злоумышленники с более изощренными навыками и приемами начинают использовать код Mirai, который находится в свободном доступе. Ботнет Windows, распространяющий IoT-боты Mirai, выходит на финишную прямую и распространяет Мirai на новые доступные устройства и сети, которые были ранее недоступны для операторов Mirai. И это только начало", — рассказал Курт Баумгартнер, эксперт «Лаборатории Касперского».
Согласно телеметрическим данным «Лаборатории Касперского», почти 500 уникальных систем подверглись атакам в 2017 году через этот бот Windows, и все попытки были обнаружены и заблокированы. Судя по геолокации IP-адресов, задействованных на втором этапе атаки, наиболее уязвимыми являются развивающиеся страны, которые вложили значительные средства в технологии с выходом в интернет — Индия, Вьетнам, Саудовская Аравия, Китай, Иран, Бразилия, Марокко, Турция, Малави, ОАЭ, Пакистан, Тунис, Россия, Молдова, Венесуэла, Филиппины, Колумбия, Румыния, Перу, Египет и Бангладеш.
«Лаборатория Касперского» сотрудничает с CERT, группой реагирования на нарушения компьютерной защиты в интернете, а также с поставщиками услуг хостинга и операторами сетей над решением этой нарастающей угрозы для инфраструктуры интернета, закрывая множество командных серверов. Мгновенная и успешная ликвидация этих серверов минимизирует риск и сбои, которые несут с собой быстро развивающиеся ботнеты IoТ.