IoT-вредонос Mirai по-прежнему добавляет работы ИБ-экспертам. Так, после атаки на немецкого провайдера Deutsche Telekom исследователи заговорили о появлении новой версии Mirai, которая еще опаснее своего прародителя. Вместе с этим специалисты заметили, что в сети активно рекламируются услуги крупного Mirai-ботнета, насчитывающего более 400 000 устройств. Журналисты сумели связаться с его операторами, и те не стали скрывать, что модифицировали вредоноса, добавив к его арсеналу эксплоиты для неназванных багов.
Аналитики компании Flashpoint подтверждают выводы коллег и пишут, что за атакой на Deutsche Telekom стоял Mirai, причем это действительно была новая версия вредоноса. По мнению исследователей, за новой версией Mirai стоят злоумышленники, пытающиеся увеличить «популяцию» уже существующего ботнета.
Новая версия Mirai атакует не только TCP/23 (Telnet) и TCP/2323, перебирая дефолтные учетные данные IoT-девайсов, но также атакует порт 7547, используя протоколы TR-064 и TR-069. Уязвимость перед такими атаками в начале ноября описал независимый исследователь, известный как kenzo. Он также представил PoC-эксплоит и модуль для Metasploit, обнаружив, что множество клиентов ирландского провайдера Eircom используют уязвимое для подобных атак оборудование. Вскоре атака на Deutsche Telekom показала, что уязвимые устройства – это проблема не только Eircom.
Специалисты Flashpoint предупреждают, что зараженные устройства уже есть на территории Германии, Бразилии и Великобритании. Точное количество скомпрометированных девайсов неизвестно, но исследователи убеждены, что новая модификация Mirai представляет угрозу более чем для 5 млн устройств. Им удалось обнаружить более 41 млн устройств с открытым портом 7547, и 5 млн разрешают доступ к конфигурированию не только сотрудникам интернет провайдеров.