اگرچه سازندگان اصلی باتنت Mirai DDoS هماکنون در زندان هستند[۱] اما با توجه به در دسترس بودن منبع کد آن[۲]، انواع مختلفی از این بدافزارِ اینترنت اشیاء همچنان در سطح اینترنت وجود دارد.
محققان امنیتی یک نوع جدید از بدافزار اینترنت اشیاء Mirai را شناسایی کردند[۳] که برای به سرقت بردن دستگاههای غیر ایمنی طراحی شده است که دارای پردازندههای ARC هستند.
تا به امروز Mirai و دیگر انواع آن معماریهای مختلف پردازندهها را ازجمله x86، ARM، Sparc، MIPS، PowerPC و Motorola 6800 را مورد هدف قرار دادند که در میلیونها دستگاه اینترنت اشیاء مختلف قرار دارند.
این بدافزار جدید که Okiru نامیده شده است در ابتدا توسط @unixfreaxjp از تیم MalwareMustDie کشف شد و توسط یک محقق مستقل به نام Odisseus اطلاعرسانی شد. این بدافزار نوع جدیدی از بدافزارهای ELF است که دستگاههای بر پایه ARC را مورد هدف قرار داده که دارای سیستمعامل لینوکس هستند.
Odisseus توییت کرده است[۴]: “این اولین بار در تاریخ مهندسی کامپیوتر است که یک بدافزار برای پردازندههای ARC وجود دارد و آن MIRAI OKIRU است. لطفاً به این حقیقت توجه کنید و برای تأثیرات بیشتر این بدافزار که شامل آلوده کردن دستگاههای جدید میشود، آماده باشید.”
پردازنده ARC یا Argonaut RISC Core، دومین پردازنده محبوب جهان است که هرساله بیش از ۲ میلیارد محصول ازجمله دوربینها، تلفن همراه، وسایل کممصرف، تلویزیونها، درایوهای فلش، خودروها و دستگاههای اینترنت اشیاء که دارای این پردازنده هستند وارد بازار میشوند.
بااینحال، این اولین باری نیست که انواع مختلف بدافزار Mirai بر روی لینوکس ELF تأثیرگذار هستند[۵]. Mirai همچنین یک نوع مبتنی بر ELF دیگر نیز دارد که برای دستگاههایی که از پردازندههای MIPS و ARM استفاده میکنند، طراحی شده است.
لازم به ذکر است که Okiru، که قبلاً نیز بهعنوان باتنت اینترنت اشیاء Satori نامگذاری شده بود[۶] (یکی دیگر از انواع بدافزارMirai که در اواخر سال گذشته کشف شده بود)، باوجود چندین ویژگی مشابه، همانطور که در Reddit توضیح داده شده است[۷]، با بدافزار Okiru کاملاً متفاوت است.
آیا این بدافزار رکورد قبلی حمله DDoS را خواهد شکست؟ (آرامش قبل از طوفان)
دستگاههای اینترنت اشیاء در حال حاضر در بسیاری از وسایل جاسازی شدهاند که در خانهها، محلهای کار و بیمارستانها قرار دارند اما به علت عدم وجود استانداردهای امنیتی سختگیرانه برای آنها و مکانیزمهای رمزگذاری غیر ایمن، بهطورمعمول مورد حمله واقع شده و بهعنوان یک اسلحه سایبری مورد سوءاستفاده قرار میگیرند.
بزرگترین حمله DDoS (یک تترابایت در ثانیه) در جهان[۸]، با کمک گرفتن از بدافزار Mirai از ۱۵۲،۰۰۰ دستگاه اینترنت اشیاء آلوده استفاده کرد و در یک حمله جداگانه تنها ۱۰۰،۰۰۰ دستگاه[۹]، سرویسدهنده DynDNS را در اواخر سال ۲۰۱۶ از کار انداختند[۱۰].
ازآنجاکه Okiru برای هدف قرار دادن میلیونها دستگاه غیر ایمن و دارای پردازنده ARC طراحی شده است، حمله DDoS که توسط باتنت Okiru انجام گیرد، احتمالاً بزرگترین حمله سایبری تا به امروز خواهد بود.
Odisseus دراینباره تووییت کرده است[۱۱]: “از امروز، چشمانداز آلوده شدن دستگاههای اینترنت اشیاء دارای سیستمعامل لینوکس تغییر خواهد کرد. دستگاههای دارای پردازندههای ARC به میزان بیش از ۱ میلیارد عدد در سال تولید میشوند. بنابراین این دستگاهها همان چیزی است که مهاجمان میخواهند تا با آلوده کردن آنها توسط بدافزارهای بر پایه ELF، سلاحهای خود را برای حمله DDoS آمادهسازی کنند. این یک تهدید جدی است.”
ورود تازهای از دستگاههای اینترنت اشیاء مبتنی بر ARC، تعداد دستگاههای ناامن را به میزان بیسابقهای افزایش میدهد و کار را برای مهاجمان راحت میکند تا کنترل تعداد زیادی از دستگاههای اینترنت اشیاء آسیبپذیر را در دست گیرند.
منابع
[۱] https://thehackernews.com/2017/12/hacker-ddos-mirai-botnet.html
[۲] https://thehackernews.com/2016/10/mirai-source-code-iot-botnet.html
[۳] https://thehackernews.com/2016/09/ddos-attack-iot.html
[۴] https://twitter.com/_odisseus/status/952641540094033920
[۵] http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
[۶] https://apa.aut.ac.ir/?p=3345
[۷]https://www.reddit.com/r/LinuxMalware/comments/7p00i3/quick_notes_for_okiru_satori_variant_of_mirai
[۸] https://thehackernews.com/2016/09/ddos-attack-iot.html
[۹] https://thehackernews.com/2016/10/ddos-attack-mirai-iot.html
[۱۰] https://thehackernews.com/2016/10/iot-dyn-ddos-attack.html
[۱۱] https://twitter.com/_odisseus/status/952643252116770817
[۱۲] https://thehackernews.com/2018/01/mirai-okiru-arc-botnet.html
ثبت ديدگاه