Невзирая на то, что авторы оригинальной версии малвари Mirai давно арестованы и признали свою вину, дело вредоноса живет. Напомню, что исходные коды Mirai были опубликованы в открытом доступе еще осенью 2016 года, что повлекло за собой появление многочисленных модификаций и IoT-ботнетов, многие из которых представляют угрозу по сей день.
Недавно специалисты компании Fortinet сообщили об обнаружении новой версии Mirai, которой было присвоено название Mirai OMG, так как в коде малвари нашли строку, содержащую «OOMGA».
Тогда как вредонос сохранил большинство функций оригинальной версии Mirai, предназначенных для организации DDoS-атак, он так же имеет и ряд отличий. В частности, малварь добавляет новое правило для файрвола, которое разрешает пропускать трафик через два случайных порта.
Исследователи пишут, что Mirai OMG использует опенсорсный 3proxy для работы прокси-сервера, и во время установки генерирует два случайных порта (http_proxy_port и socks_proxy_port), для которых и разрешается передача трафика. Об этих портах малварь сообщает своему управляющему серверу, ожидая от него дальнейших команд. Так, Mirai OMG может использоваться «классическим» образом, для DDoS-атак, telnet-брутфорса и так далее, или зараженное устройство может стать прокси-сервером, через который злоумышленники могут пропускать самый разнообразный трафик.
Интересное «опровержение» выводов специалистов Fortinet опубликовало на своих страницах издание Bleeping Computer. Некие ИБ-специалисты на условиях анонимности рассказали журналистам, что аналитики Fortinet, возможно, ошибаются, и Mirai OMG – далеко не первая версия известной IoT-малвари, которая имеет функциональность прокси-сервера. Источники издания утверждают, что Mirai-ботнеты уже не раз пытались проксировать трафик через своих ботов, просто эти вариации вредоноса не получали широкого распространения и не были ориентированы исключительно на такие задачи.
Читайте также
Последние новости