Армия кофеварок атакует: как P2PInfect превращает ваши устройства в зомби-сеть

Исследователи безопасности обнаружили в киберпространстве новую вариацию ботнета P2PInfect. По данным лаборатории Cado Security, эта версия ботнета разработана специально для архитектуры MIPS, что даёт ей возможность атаковать роутеры и устройства Интернета вещей (IoT), такие как умные чайники, кофеварки, IP-камеры и т.п. Это резко расширяет возможности и сферу воздействия ботнета.

Впервые P2PInfect, основанный на языке программирования Rust, был обнаружен в июле этого года. Он атакует незащищённые экземпляры Redis, эксплуатируя критическую уязвимость языка Lua ( CVE-2022-0543 , оценка CVSS 10.0) для первоначального доступа.

Дальнейший анализ показал значительный рост активности P2PInfect в сентябре , что совпало с выпуском новых версий вредоносного ПО. Эти новые версии, помимо попыток провести атаки методом подбора паролей через SSH на устройствах с 32-битными процессорами MIPS, включают усовершенствованные методы уклонения и затруднения анализа. Попытки взлома SSH-серверов были осуществлены с использованием распространённых пар логинов и паролей, встроенных в двоичный файл ELF.

Предполагается, что серверы SSH и Redis являются основными векторами распространения новой вариации P2PInfect, поскольку на MIPS можно запустить сервер Redis с помощью OpenWRT-пакета «redis-server» .

Одним из методов уклонения новой вариации ботнета является самоуничтожение и попытка отключения дампов ядра Linux, в случае обнаружения или прерывания основного процесса вредоноса.

Вариация MIPS также включает в себя встроенный 64-битный Windows-модуль DLL для Redis, позволяющий выполнять команды оболочки на скомпрометированной системе.

В Cado Security подчёркивают: «Это интересная разработка не только в том смысле, что она демонстрирует расширение возможностей разработчиков, стоящих за P2PInfect, но и в том, что образец MIPS32 включает в себя некоторые заметные методы уклонения от защиты».

«В сочетании с использованием Rust и быстрыми темпами роста самого ботнета, предыдущие предположения о том, что эта кампания проводится весьма изощренным субъектом угрозы, лишь подтверждаются», — подытожили исследователи.