Хотя авторы оригинальной версии малвари Mirai давно арестованы и признали свою вину, дело вредоноса живет. Напомню, что исходные коды Mirai были опубликованы в открытом доступе еще осенью 2016 года, что повлекло за собой появление многочисленных модификаций и IoT-ботнетов, многие из которых представляют угрозу по сей день.

Теперь специалисты MalwareMustDie и независимый исследователь Odisseus обнаружили новую разновидность Mirai, которая атакует устройства, оснащенные встраиваемыми процессорами на архитектуре ARC (Argonaut RISC Core). Созданные компанией ARC International, такие процессоры широко используются для создания SOC-решений и применяются в миллиардах стационарных и мобильных потребительских устройств, IoT, автомобилестроении и так далее.

Угроза получила имя Okiru, но, по мнению ИБ-специалистов, этот вариант сильно отличается от версии, использованной для создания ботнета Satori (автор той разновидности Mirai так же назвал свой ботнет Okiru). Исследователи подчеркивают, что новый Okiru — это первая известная малварь, атакующая устройства с ARC-процессорами; предыдущие модификации Mirai нацеливались на архитектуры x86, ARM, Sparc, MIPS, PowerPC и Motorola 6800. При этом Okiru представляет собой Linux ELF-малварь, и это не первая разновидность Mirai такого рода – ранее специалисты уже находили ELF-вредоноса, чьей основной целью были устройства на базе MIPS и ARM-процессоров.

Специалисты обнаружили, что новый вредонос заражает четыре типа различных роутеров, используя для этого жестко закодированный эксплоит, а также применяет небольшие ELF-загрузчики для бинарников под другие архитектуры.

Эксперты предупреждают, что новая версия Mirai может вызвать новую массовую волну заражений и DDoS-атак  (так как ранее множество устройств с ARC-процессорами были вне опасности). Более того, разработчик Okiru явно внимательно следит за новостями о своем «продукте» и работой исследователей. Дело в том, что стоило специалисту ENISA (European Union Agency for Network and Information Security, Европейское агентство по сетевой и информационной безопасности) опубликовать данные об Okiru, как на ресурс тут же обрушилась мощная DDoS-атака, которую зафиксировал итальянский CERT-PA.

2 комментария

  1. john_

    19.01.2018 at 03:38

    Чем то напоминает маньяков из американских фильмов. Главный злодей умер/скрылся/за решеткой, но дело его живет.

    • Themistocles

      22.01.2018 at 08:58

      Все несколько более прозаично. Семейный бизнес. Отец умирает, за дело берется сын. Никаких маньяков

Оставить мнение