Internetom hara novi i još sofisticiraniji IoT botnet Torii

Internetom hara novi i još sofisticiraniji IoT botnet Torii
Fotolia

Internetom se širi nova prijetnja i mogla bi kompromirati uređaje Interneta stvari (IoT), a koliko je situacija alarmantna potvrđuju sigurnosni stručnjaci ocjenama kako ništa slično nisu vidjeli. Naime, botnet Torii sofisticiraniji je od svega čemu se dosad svjedočilo, što znači da je koju razinu iznad Mirai i QBot botneta, iako je zapravo njihova izvedenica.

Opasnost je prvi otkrio sigurnosni stručnjak koji na Twitteru nosi nadimak VessOnSecurity jer ga je zabilježio u jednom od svojih "honeypotova". Odmah je uvidio o kakvoj se opasnosti radi i podijelio s cijelim svijetom svoja saznanja, kako bi se lakše ljudi mogli zaštititi, odnosno, kako bi se Torii što prije postavila u ropotarnicu povijesti.

"Širi se putem Telneta, ali ne kao Mirai varijanta ili kao Monero miner... Prva faza je samo nekoliko komandi koje preuzmu iznimno sofisticiranu "shell" skriptu, prerušenu kao CSS datoteka. Ona je stvarno sofisticirana, ni blizu kao uobičajene Mirai glupost. Onaj koji stoji iza nje nije prosječni Mirai modder, napisao je VessOnSecurity.

Cijelu situaciju ispitao je i Avast pa otkrio da iza Torii stoji netko s opširnim razumijevanjem načina na koji botneti rade, što je bitno drugačije od jednostavnog "prosljeđivanja" neke od Mirai varijanti, koje su javno dostupne od napada koji se zbio 2016. godine. Dakle, hakeri su napredniji i imaju motiva poigravati se sa stručnjacima, što znači da se i dalje situacija u tom smislu nije promijenila kroz sva ova desetljeća.

Samo, problematično je što se Torii tek sad otkrio, a vjeruje se da postoji od prošle godine i konstantno napada na načine koji prije nisu zabilježeni pa je uspio "zaraziti" arhitekture kao MIPS, ARM, x86, x64, PowerPC, SuperH i mnoge druge... Konačni cilj je jednostavan, nakon što kroz IoT uređaj dođe do sustava, preuzima kontrolu koliko god je to moguće postavljanjem payload malwarea. Za to koristi komande kao "wget", "ftpget", "ftp", "busybox wget," ili "busybox ftpget". Ako se pak ne može probiti do cilja kroz HTTP, botnet će koristiti FTP protokol.

Torii koristi najmanje šest metoda da zadrži prisustvo u kompromitiranom uređaju i sve ih pokreće u isto vrijeme.

  • Automatic execution via injected code into ~\\.bashrc
  • Automatic execution via "@reboot" clause in crontab
  • Automatic execution as a "System Daemon" service via systemd
  • Automatic execution via /etc/init and PATH. Once again, it calls itself "System Daemon
  • Automatic execution via modification of the SELinux Policy Management
  • Automatic execution via /etc/inittab

Za više tehničkih detalja pogledajte Avastovo izvješće OVDJE.