Satori botnet: Εκμεταλλεύτηκε ευπάθεια σε router της Huawei.
Ένας χάκερ που φέρε το ψευδώνυμο Nexus Zeta βρέθηκε να εκμεταλλεύεται μια μία ευπάθεια τύπου zero-day που παρουσιάζεται σε router της Huawei για να διανείμει μια παραλλαγή του περιβόητου botnet Mirai που ονομάζεται Satori . Οι ειδικοί ασφαλείας δήλωσαν ότι ανίχνευσαν ένα σύνολο επιθέσεων που εκμεταλλεύονται το ελάττωμα zero-day, και απευθύνεται κατά κύριο λόγο (μέχρι στιγμής) στις ΗΠΑ, την Ιταλία, τη Γερμανία και την Αίγυπτο, οι οποίες έχουν χτυπηθεί σκληρότερα.
Νωρίτερα αυτό το μήνα, το Satori botnet, το οποίο θεωρείται μια ενημερωμένη παραλλαγή του διαβόητου IoT (internet of things) botnet Mirai, βρέθηκε να μολύνει πάνω από 280.000 διευθύνσεις IP σε μόλις 12 ώρες. Δεδομένου ότι οι δημιουργοί του Mirai φρόντισαν να δημοσιεύσουν τον πηγαίο κώδικα του κακόβουλου λογισμικού, ούτως ώστε να διαδοθεί στα πέρατα της γης, βέβαια για κακό σκοπό, και είχε ως αποτέλεσμα πολλοί χάκερ να έχουν τροποποιήσει τον κώδικα του για να εκτοξεύσουν νέες επιθέσεις DDoS.
Οι ερευνητές της Security Check Point δήλωσαν ότι παρακολούθησαν εκατοντάδες χιλιάδες προσπάθειες εκμετάλλευσης της συγκεκριμένης ευπάθειας τον Νοέμβριο. Ευτυχώς, η άγνωστη ευπάθεια αποκαταστάθηκε γρήγορα από την Hauwei, η οποία εξέδωσε μια ενημέρωση ασφαλείας στους πελάτες, προειδοποιώντας τους για το σφάλμα.
Παρόλο που οι ερευνητές κατάφεραν να κατευνάσουν τις συνέπειες της επίθεσης που εκμεταλλεύτηκαν το zero-day της Hauwei, ωστόσο αρχικά δεν μπόρεσαν να καταλάβουν αν ήταν μια εξελιγμένη συμμορία του κυβερνοχώρου ή μια ομάδα εμπειρογνωμόνων που δουλεύουν για τα συμφέροντα κάποιας χώρας, αργότερα με μεγάλη έκπληξη διαπίστωσαν πως ότι επρόκειτο για ένα μοναχικό χάκερ, κάτι που πραγματικά φαντάζει ασύλληπτο για το μέγεθος της όλης κατάστασης.
«Φτάσαμε να βρούμε τον βασικό ύποπτο, που δραστηριοποιείται με το ψευδώνυμο «Nexus Zeta», χάρη στη διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για την καταχώρηση ενός domain name C&C που ανήκει στο botnet – nexusiotsolutions [.] Net», ανέφεραν οι ερευνητές της Check Point σε μία δημοσίευση στο blog τους.
Οι ερευνητές διαπίστωσαν ότι ο Nexus Zeta είναι μέλος του HackForums από το 2015, αν και δεν είναι πολύ ενεργό μέλος του φόρουμ. Οι ερευνητές διαπίστωσαν επίσης ότι ο χάκερ είναι κάπως ενεργός στο Twitter και στο GitHub, όπου σε αυτές τις δύο τοποθεσίες “προωθεί προγράμματα του botnet του IoT”. Επίσης, αποκάλυψαν έναν λογαριασμό Skype και SoundCloud που συνδέεται με τον χάκερ, ο οποίος καταχωρήθηκε υπό την επωνυμία Caleb Wilson. Ωστόσο, οι ερευνητές δεν ήταν σε θέση να προσδιορίσουν εάν αυτό ήταν, στην πραγματικότητα, το πραγματικό όνομα του Nexus Zeta.
