Новый троян Mirai атакует IoT-устройства и серверы на Linux

В Сети появился новый троян, предназначенный для атак на Linux-серверы и устройства из сферы «Интернета вещей» (IoT), в основном видеорегистраторов с прошивками на основе Linux. Системы, инфицированные Mirai, включаются в состав крупного ботнета, используемого для проведения DDoS-атак.

По словам независимого исследователя под псевдонимом MalwareMustDie!, проводившего анализ вредоноса, Mirai является наследником другого DDoS-трояна, известного как Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus. По данным компании Level 3, за последние несколько месяцев Gafgyt инфицировал более 1 млн web-камер, причем в один из ботнетов входит порядка 120 тыс. устройств.

Целевыми для Mirai являются IoT-девайсы, работающие на базе Busybox – упрощенного набора инструментов GNU и библиотек для встраиваемых устройств. Троян атакует только определенные платформы, в частности ARM, ARM7, MIPS, PPC, SH4, SPARC и x86.

Инфицирование целевого устройства осуществляется посредством брутфорс-атаки на порт Telnet с использованием списка дефолтных учетных данных администратора. Оказавшись на системе, вредонос связывается с C&C-сервером злоумышленников и ожидает команды. Mirai может осуществлять DDoS-атаки и использует брутфорс для распространения на другие устройства.