Internetom hara novi i još sofisticiraniji IoT botnet Torii

Internetom hara novi i još sofisticiraniji IoT botnet Torii

Foto: Fotolia

Internetom se širi nova prijetnja i mogla bi kompromirati uređaje Interneta stvari (IoT), a koliko je situacija alarmantna potvrđuju sigurnosni stručnjaci ocjenama kako ništa slično nisu vidjeli. Naime, botnet Torii sofisticiraniji je od svega čemu se dosad svjedočilo, što znači da je koju razinu iznad Mirai i QBot botneta, iako je zapravo njihova izvedenica.

Opasnost je prvi otkrio sigurnosni stručnjak koji na Twitteru nosi nadimak VessOnSecurity jer ga je zabilježio u jednom od svojih "honeypotova". Odmah je uvidio o kakvoj se opasnosti radi i podijelio s cijelim svijetom svoja saznanja, kako bi se lakše ljudi mogli zaštititi, odnosno, kako bi se Torii što prije postavila u ropotarnicu povijesti.

"Širi se putem Telneta, ali ne kao Mirai varijanta ili kao Monero miner... Prva faza je samo nekoliko komandi koje preuzmu iznimno sofisticiranu "shell" skriptu, prerušenu kao CSS datoteka. Ona je stvarno sofisticirana, ni blizu kao uobičajene Mirai glupost. Onaj koji stoji iza nje nije prosječni Mirai modder", napisao je VessOnSecurity.

Cijelu situaciju ispitao je i Avast pa otkrio da iza Torii stoji netko s opširnim razumijevanjem načina na koji botneti rade, što je bitno drugačije od jednostavnog "prosljeđivanja" neke od Mirai varijanti, koje su javno dostupne od napada koji se zbio 2016. godine. Dakle, hakeri su napredniji i imaju motiva poigravati se sa stručnjacima, što znači da se i dalje situacija u tom smislu nije promijenila kroz sva ova desetljeća.

Samo, problematično je što se Torii tek sad otkrio, a vjeruje se da postoji od prošle godine i konstantno napada na načine koji prije nisu zabilježeni pa je uspio "zaraziti" arhitekture kao MIPS, ARM, x86, x64, PowerPC, SuperH i mnoge druge... Konačni cilj je jednostavan, nakon što kroz IoT uređaj dođe do sustava, preuzima kontrolu koliko god je to moguće postavljanjem payload malwarea. Za to koristi komande kao "wget", "ftpget", "ftp", "busybox wget," ili "busybox ftpget". Ako se pak ne može probiti do cilja kroz HTTP, botnet će koristiti FTP protokol.

Torii koristi najmanje šest metoda da zadrži prisustvo u kompromitiranom uređaju i sve ih pokreće u isto vrijeme.

  • Automatic execution via injected code into ~\.bashrc
  • Automatic execution via "@reboot" clause in crontab
  • Automatic execution as a "System Daemon" service via systemd
  • Automatic execution via /etc/init and PATH. Once again, it calls itself "System Daemon"
  • Automatic execution via modification of the SELinux Policy Management
  • Automatic execution via /etc/inittab

Za više tehničkih detalja pogledajte Avastovo izvješće OVDJE.

Još iz kategorije

Vlasnici poslovnih objekata dobili mogućnost odgovaranja na recenzije korisnika na Google Maps

Vlasnici poslovnih objekata dobili mogućnost odgovaranja na recenzije korisnika na Google Maps

19.02.2019. komentiraj

Vlasnici poslovnih objekata koji se nalaze na Google Maps bit će zadovoljni zbog činjenice da odsad mogu kroz Google My Business odgovarati na recenzije koje ostavljaju korisnici, što je iznimna stvar jer ponekad oni imaju pitanja u kojima pokušavaju riješiti neke probleme ili se žale zbog negativnih iskustava pa odgovor samog vlasnika može uliti povjerenje.

Budućnost Google Newsa upitna zbog EU Direktive o autorskim pravima

Budućnost Google Newsa upitna zbog EU Direktive o autorskim pravima

18.02.2019. komentiraj

Google News trn je u očima izdavača dugi niz godina, ali oni europski uskoro bi mogli slaviti pobjedu jer mogli bi ga se riješiti zahvaljujući Direktivi o autorskim pravima u Europskoj uniji, koja će se uskoro finalizirati. S njom bi stigao i tzv. “porez na linkove”, a tako nešto ponajveća kompanija na svijetu ne bi mogla ni željela podnijet i jednostavno bi se povukla s tržišta vezanog za izdavaštvo i medije općenito.

Instagram poruke stižu na desktope i u internet preglednike

Instagram poruke stižu na desktope i u internet preglednike

18.02.2019. komentiraj

Nije prošlo ni tjedan dana otkako je Facebook najavio integraciju direktnih poruka s Instagrama na Pages Manageru, a sad je korisnike obradovao vijesti o tome da će one napokon biti vidljive kroz aplikacije na stolnim računalima i kroz web internetske preglednike. Tako nešto dugo se zagovaralo.