Кроссплатформенный ботнет Mirai начал майнить биткоины

Корпорация IBM недавно обнаружила, что ботнет Mirai активно устанавливает код майнинга Биткоина на компьютеры некоторых из своих жертв. Этот ботнет использовался для осуществления одной из крупнейших атак DDoS против Dyn DNS - оператора динамического DNS в США. 

Ботнет интернета вещей Mirai

Впервые ботнет Mirai был обнаружен в августе прошлого года группой программистов Malwaremustdie. Ботнет превращает устройства сети, работающие на устаревших версиях Linux, в удалённо контролируемых «ботов» или «зомби», которые впоследствии используются злоумышлениками в атаках DDoS.

«Ботнет Mirai был разработан для двух основных целей», - объясняет представитель IBM Дэйв Макмиллен (Dave Mcmillen). «Первая цель – обнаружить и скомпрометировать устройства IoT, чтобы наращивать мощности ботнета, вторая – осуществление DDoS-атак против предварительно выбранных жертв».

В январе этого года был обнаружен ботнет Windows, распространяющий бота Mirai. Представитель Лаборатории Касперского Курт Баумгартнер (Kurt Baumgartner) говорит: 

«Появление Mirai на платформах Linux и Windows представляет реальную проблему. Распространяющий ботов IoT Mirai ботнет Windows выходит на финишную прямую и позволяет распространять Mirai в новые устройства и сети, ранее недоступные операторам Mirai. И это только начало».

Внедрение кода майнинга Биткоина

Как пишет Макмиллен, на прошлой неделе в IBM X-Force обнаружили вариант вредоносного кода ELF Linux/Mirai с новой функцией: встроенным компонентом майнинга Биткоина. Атака Mirai с майнингом Биткоина началась 20 марта, однако её активность утихла через восемь дней после начала.

«Клиент Биткоина не был встроен в саму программу Mirai. Майнер Биткоина был частью архива файлов, содержащего дроппер Mirai Dofloo backdoor, Linux shell и Bitcoin miner slave», - говорит Макмиллен.

Несмотря на то, что идентифицировать атакующих пока не удалось, по словам Макмиллена, наибольшая активность атаки наблюдалась в Азиатско-тихоокеанском регионе, а интерфейс языка даёт основание предположить, что атака могла иметь китайское происхождение. 

Макмиллен добавляет: «Нам неизвестно, были ли во время этих атак действительно добыты биткоины». 

Напоминая о том, что для установления новой версии бота необходимо много работы, он пишет: 

«Невозможно, чтобы находившиеся в процессе бездействия и ожидания дальнейших инструкций боты Mirai могли использоваться для входа в майнинг.

Для решения проблемы ботнета IoT необходимо, чтобы все участники предприняли меры по защите своих устройств. Если использование устройств IoT в качестве ботнетов DDoS – это последняя тенденция злоумышленников, то следующим шагом вполне может стать их превращение в майнеры Биткоина».