Эксперты определили, из чего на самом деле состоит ботнет Mirai

Эксперты определили, из чего на самом деле состоит ботнет Mirai

Как показал анализ опубликованного в прошлом месяце исходного кода трояна Mirai, прежде чем заразить устройство, вредонос сканирует на наличие Telnet, а затем осуществляет брутфорс-атаку с помощью 61 различной комбинации учетных данных. По вшитым в троян комбинациям исследователям удалось определить, в каких устройствах "Интернета вещей" они используются.

 По словам экспертов Imperva Incapsula, львиная доля ботнета Mirai состоит из камер видеонаблюдения, а остальную часть составляют видеорегистраторы и маршрутизаторы. Однако последние исследования заставили усомниться в первоначальном "диагнозе". Как сообщают исследователи Level 3 Communications, четыре бота из пяти в ботсети – видеорегистраторы, а все остальное – маршрутизаторы и другие устройства, такие как IP-камеры и Linux-серверы.

 Британские эксперты из Pen Test Partners решили провести собственное исследование и приобрели видеорегистратор. Устройство было инфицировано трояном, однако его заводские учетные данные не входили в первоначальный список логинов и паролей. "Значит, дефолтные учетные данные для видеорегистратора были известны авторам Mirai и больше никому", - сообщили исследователи.

 Камеры видеонаблюдения обладают меньшим функционалом по сравнению с видеорегистраторами, что делает их менее гибкой платформой для атак. Как показало более подробное изучение, мнение, будто ботнет Mirai состоит преимущественно из CCTV-камер, может быть ошибочным.

 "Все изученные нами камеры работают на базе кода, практически идентичного коду, под управлением которого работают видеорегистраторы, и запускают процесс dvrHelper, так же как и изученные нами видеорегистраторы. Камеры были взломаны лишь потому, что работали под управлением программного обеспечения для видеорегистраторов, а не потому, что они камеры", - пояснили исследователи.

Securitylab