Обнаружен новый многофункциональный IoT-ботнет Torii

Исследователи безопасности обнаружили новый IoT-ботнет Torii, по функциональным возможностям превосходящий Mirai и его многочисленные варианты. Разработчики ботнета намерены охватить широкий спектр устройств и для этой цели они создали двоичные файлы для нескольких архитектур процессоров. Связь с C&C-серверами шифруется, а возможности ботнета включают в себя хищение данных и удаленное выполнение команд.

По словам исследователей из Avast, вредоносное ПО активно по меньшей мере с декабря 2017 года. Оно предназначено для устройств, работающих на нескольких архитектурах процессоров, таких как MIPS, ARM, x86, x64, PowerPC и SuperH. Torii поддерживает один из самых больших наборов архитектур по сравнению с другими ботнетами, обнаруженными на сегодняшний день, отметили специалисты.

Как выяснил исследователь безопасности Весселин Бонтчев (Vesselin Bontchev), атака была нацелена на Telnet-порт 23, однако связь была туннелирована через сеть Tor.

Torii заражает системы с открытым портом Telnet и защищеные ненадежными учетными данными. Вредонос выполняет сложный скрипт, который определяет архитектуру устройства, и использует несколько команд («wget», «ftpget», «ftp», «busybox wget» или «busybox ftpget») для обеспечения доставки.

Torii способен «перенести» перезагрузку системы и использует 6 методов для сохранения присутствия на системе, однако его удаление все же возможно путем сброса прошивки до конфигурации по умолчанию. Трафик зашифрован и отправляется через определенный порт TLS 443, при этом вредоносное ПО не использует протокол TLS.

Предплагается, что целью Torii являются DDoS-атаки или майнинг криптовалют, однако в настоящее время не было зафиксировано инцидентов подобного рода.

Источник