NCSC ujawnia, że ​​chińska firma obsługuje złośliwy botnet Mirai


Wielka Brytania Narodowe Centrum Cyberbezpieczeństwa (NCSC) i jej odpowiedniki z Five Eyes oskarżyły chińską firmę działającą jako przykrywka dla państwa o prowadzenie ogromnej sieci botnet składającej się z ponad 250 000 urządzeń podłączonych do Internetu, z czego około 8500 znajduje się w Wielkiej Brytanii.

Zagrożone urządzenia obejmują narzędzia sieciowe i zabezpieczające przedsiębiorstwa, takie jak routery i zapory sieciowe, a także produkty Internetu rzeczy (IoT), takie jak kamery CCTV i kamery internetowe. Ich właściciele nie wiedzą, że są one wykorzystywane do przeprowadzania skoordynowanych cyberataków, w tym ataków typu „distributed denial of service” (DDoS) i dostarczania złośliwego oprogramowania.

Botnet „Operacje te stanowią poważne zagrożenie dla Wielkiej Brytanii, wykorzystując luki w zabezpieczeniach urządzeń codziennego użytku podłączonych do Internetu, co może potencjalnie prowadzić do przeprowadzania cyberataków na szeroką skalę” — powiedział dyrektor operacyjny NCSC, Paul Chichester.

„Chociaż większość botnetów służy do przeprowadzania skoordynowanych ataków DDoS, wiemy, że niektóre z nich mają również zdolność do kradzieży poufnych informacji.

„Dlatego NCSC wraz z naszymi partnerami w krajach Five Eyes gorąco zachęca organizacje i osoby prywatne do działania zgodnie z wytycznymi zawartymi w tym poradniku – co obejmuje stosowanie aktualizacji urządzeń podłączonych do Internetu – aby zapobiec dołączaniu ich urządzeń do botnetu”.

Firma, o której mowa, Integrity Technology Group, ma siedzibę w Pekinie i najprawdopodobniej działa jako legalny dostawca usług z zakresu bezpieczeństwa sieci.

Reklama

Jednakże zgodnie ze wspólnym doradztwem, który można przeczytać w całości tutajwykorzystała również swoją wiedzę specjalistyczną na rzecz chińskiego rządu – wiadomo, że adresy IP firmy Integrity China Unicom Beijing Province zostały wykorzystane do uzyskania dostępu do innej infrastruktury operacyjnej wykorzystywanej w cyberatakach na ofiary w USA.

Według władz, FBI nawiązało kontakt z wieloma ofiarami i odkryło działania zgodne z taktyką, techniką i procedurami (TTP) preferowanymi przez wspieranego przez państwo ugrupowanie stanowiące zaawansowane stałe zagrożenie (APT) znane jako Flax Typhoon, ale znane również jako RedJuliett i Ethereal Panda, między innymi.

Jego botnet używa niesławne złośliwe oprogramowanie Mirai rodzina do przejmowania kontroli nad urządzeniami z systemami operacyjnymi opartymi na systemie Linux. Integrity atakuje te urządzenia za pośrednictwem szeregu ujawnionych powszechnych luk i zagrożeń (CVE).

Po pobraniu i uruchomieniu ładunku Mirai rozpoczyna on procesy na urządzeniu w celu nawiązania połączenia z infrastrukturą poleceń i kontroli (C2) Integrity przy użyciu Transport Layer Security (TLS) przez port 443. Gromadzi również i eksfiltruje informacje systemowe, w tym wersje systemu operacyjnego, szczegóły dotyczące pamięci i przepustowości w celach enumeracyjnych. Wysyła również żądania do ‘c.speedtest.net’ w celu zebrania dodatkowych szczegółów dotyczących połączenia internetowego. Ponadto, jak wykazało dochodzenie, niektóre ładunki Mirai są samoczynnie usuwane, aby uniknąć wykrycia.

Tymczasem w górnym biegu Integrity obsługuje poziom serwerów zarządzających za pośrednictwem portu TCP 34125, aby uruchomić infrastrukturę C2 botnetu. Serwery hostują bazę danych MySQL zawierającą informacje o naruszonych urządzeniach, która według stanu na czerwiec tego roku zawiera ponad 1,2 miliona rekordów. Serwery hostują również aplikację znaną jako „Sparrow” do interakcji z botnetem — kod tej aplikacji jest przechowywany w repozytorium Git i definiuje różne funkcje, które umożliwiają użytkownikom wysyłanie poleceń zadań i eksploatacji do naruszonych urządzeń, między innymi. „Sparrow” może również dostarczać użytkownikom informacje o podatności urządzeń oraz podkomponent o nazwie „arsenał podatności”, który pozwala im wykorzystywać tradycyjne sieci za pośrednictwem urządzeń ofiary.

Więcej szczegółów na temat działalności Integrity, w tym wskazówki dotyczące łagodzenia skutków, można znaleźć w pełnej wersji poradnika.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Apple i Amazon zawarły umowę dotyczącą sprzedaży Apple TV+ za pośrednictwem Prime Video

Od końca tego miesiąca abonenci Prime Video będą mogli subskrybować Apple TV+ za pośrednictwem Amazon. Konkretne szczegóły ustaleń biznesowych pomiędzy Apple i Amazonem...

Telegram umożliwia teraz firmom korzystanie z aplikacji do weryfikacji numerów telefonów

W tym tygodniu Telegram ogłosił aktualizację zawierającą kilka nowych funkcji, a jedna jest szczególnie interesująca. Platforma umożliwi teraz firmom korzystanie z Telegramu do...

Wykonane na iPadzie: kultowe projekty masek bramkarzy NHL ożywają dzięki iPadowi Pro i Apple Pencil Pro

Tima Cooka Nike Air Max 1 z lat 86 to nie jedyne rzeczy, które w tym roku „stworzono na iPadzie”. Krajowa Liga Hokejowa...
Advertisment