Ботнет Satori создаст множество проблем по всему миру

Ботнет Mirai был (и остается) невероятно мощным. Как и в случае с любым мощным методом кибератаки, всегда будут вариации и расширения, чтобы извлечь выгоду из его силы. Mirai ничем не отличается, так как в течение нескольких месяцев после самых серьезных атак с участием ботнета сообщалось о вариантах. Другой ботнет, производный от Mirai, который некоторое время находился в центре внимания, внезапно стал гораздо более активным, к большой тревоге исследователей. Ботнет, названный Satori, что, возможно, отсылает к дзен-буддийской концепции Просветления, изучается с тех пор, как он появился месяц назад. Основной исследовательский термин «Сатори» принадлежит китайской охранной компании Qihoo 360 Netlab. В отчете, опубликованном в начале декабря, 360 исследователей Netlab отметили, как новая версия Satori начала «пробуждаться» на более чем 280 000 IP-адресов в течение 12 часов.

Новая версия Satori, по-видимому, активировалась без какого-либо предупреждения, и после активации она начала сканировать порты 37215 и 52869 в разных местах. Что делает Satori таким интересным для специалистов по информационной безопасности, так это наличие множества функций, которые отличают его от других вариантов ботнета. Возьмем, к примеру, сканирование портов. Согласно 360 Netlab, бот выполняет это уникальным образом:

Сам бот теперь НЕ полагается на механизм загрузчика | сканера для выполнения удаленной установки, вместо этого бот сам выполняет сканирование. Такое червеподобное поведение весьма важно.

Поведение червя важно, потому что, как отметил Каталин Чимпану в своем отчете о Satori, ботнет IoT «способен распространяться сам по себе без необходимости в отдельных компонентах». Большая часть роста ботнета связана с эксплойтами в ранее упомянутых портах (37215 и 52869). Первый эксплойт — это уязвимость нулевого дня, существующая в маршрутизаторах Huawei Home Gateway. Как указано в отчете об угрозах Checkpoint, этот нулевой день позволяет удаленно выполнять произвольный код.

Второй эксплойт, который использует Satori, довольно старый (CVE-2014-8361). Этот конкретный эксплойт 2014 года затрагивает устройства Realtek. Он был исправлен некоторое время назад, поэтому сканирование Satori на порту 52869 менее успешно, но, конечно, непропатченные устройства все еще существуют.

Что беспокоит исследователей безопасности, так это отсутствие реального понимания того, как будет использоваться этот ботнет. Готовится ли он к нападению в ближайшем будущем, или, возможно, он разгрузится в более позднее неожиданное время, когда первоначальный пыл утихнет? Страны, в которых Satori сканирует устройства, продолжают расти угрожающими темпами, и нужно задаться вопросом, когда действительно начнутся атаки.

На данный момент исследователи кибербезопасности могут только изучать сатори и готовить защиту от него.