אותר בוטנט חדש המכונה Reaper או Iot Troop בעל מנגנון התפשטות מבוזר
מאת: מערכת
,Telecom News 25.10.17, 21:31
הבוטנט, שמכיל 4 מרכיבים, התפשט בימים האחרונים ועפ"י דיווחים כבר הדביק ארגונים רבים. עפ"י הערכות, התוקף מנהל 2 קמפיינים נפרדים של הבוטנט, האחד מתמקד בדרום מזרח אסיה והשני מתפשט ברחבי העולם. הודבקו כבר יותר ממיליון פריטי ציוד.
דווח, שעפ"י ההערכות, בקמפיין אחד של הבוטנט הודבקו כבר למעלה ממיליון פריטי ציוד ברחבי העולם, כאשר קצב ההדבקה עומד על כ-10 אלפים מכשירים ביום.
בוטנט זה מסוגל לבצע 9 התקפות שונות על מגוון מוצרי
IoT ביניהם נתבים של חברות כמו
Netgear,
D-Link ו-
Linksys וכן על מצלמות אבטחה שונות.
ב-2 הקמפיינים ישנן 5 חברות, שהציוד שלהן פגיע, ומספר חברות נוספות שונות בכל קמפיין. החברות המשותפות הן
D-Link,
GoAhead,
Linksys, Netgear ו-
AVTECH.
חלק מהקוד של הבוטנט המפורסם
Mirai אותר בקוד של הבוטנט החדש. בניגוד ל-
,Mirai שחיפש סיסמאות ברירת מחדל במכשירים,
Reaper מכיל יכולות פריצה לפגיעויות מוכרות של המכשירים. הבוטנט אינו משמש בשלב זה להתקפות
DDoS, אך בעל פוטנציאל לכך.
עפ"י דיווחים שונים, הבוטנט מחולק ל-4 מרכיבים:
Downloader - מוריד סמפלים של הבוטנט.
Controller - אחראי על שליטה על רשת הבוטים.
Reporter - מקבל מידע על הפגיעות הקיימת בציוד
IoT פגיע.
Loader - שותל את תוכנת הבוט תוך שימוש בפגיעויות במכשיר.
עפ"י הדיווחים השונים, הבוטנט מנצל 9 פגיעויות בציוד
IoT.
דרכי התמודדות
נכון לזמן פרסום זה, 2 חברות כבר פרסמו עדכוני אבטחה ומומלץ להתקינם בהקדם:
DLINK -
http://support.dlink.com/ProductInfo.aspx?m=DIR-850L
NETGEAR -
https://kb.netgear.com/000049072/Security-Advisory-for-Command-Injection-in-ReadyNAS-Surveillance-Application-PSV-2017-2653
מומלץ לשקול לחסום הגישה ל-4 שרתי ה-
C&C שכתובותיהם:
162.211.183.192
27.102.101.121
222.112.82.231
119.82.26.157
וכן לחסום גם את הגישה לדומיינים
hl852.com, ha859.com, hi8520.com ולאתר
hxxp://cbk99.com:8080/run.lua
במידה שחסמתם את הגישה לשרתי הניהול של הבוטנט, כיבוי ציוד ה-
IoT והדלקתו מחדש אמורים עפ"י דיווח מסוים למחוק את הבוטנט מהזיכרון של הציוד, והחסימה תסייע למניעת הדבקה מחדש
.