بازگشت بات‌نت Echobot با ابزارهای جدید

گونه‌ای از بات‌نت میرای به نام اکوبات (Echobot)، 13 کد مختلف را برای بهره‌برداری از آسیب‌پذیری‌های تجهیزات اینترنت اشیاء به مجموعه ابزارهای خود اضافه کرده است.

 بازگشت بات‌نت Echobot با ابزارهای جدید

گونه‌ای از بات‌نت میرای به نام اکوبات (Echobot)، 13 کد مختلف را برای بهره‌برداری از آسیب‌پذیری‌های تجهیزات اینترنت اشیاء به مجموعه ابزارهای خود اضافه کرده است. ابزارهای جدید، تجهیزات بسیاری را از مسیریاب، دیوار آتش، دوربین IP و ابزارهای مدیریت سرور گرفته تا PLC، سیستم پرداخت آنلاین و حتی قایق موتوری هوشمند دربر می‌گیرند.

اکوبات یک بات‌نت اینترنت اشیاء (IoT) است. کار این نوع بات‌نت‌ها اغلب آلوده کردن تجهیزات متصل به اینترنت است با این هدف که از قابلیت آنها برای اقدامات بدخواهانه‌ای مثل DDoS استفاده شود. آسیب‌پذیری‌های جدید و قدیمی مختلفی در این بات‌نت مورد سوء استفاده قرار گرفته اند، از آسیب‌پذیری‌ای که در سال 2006 کشف شده بود (مربوط به فایروال اسپم باراکودا) تا باگی که در اوایل دسامبر امسال کشف شده است. اکنون این بات‌نت در مجموع 71 کد بهره‌برداری را در خود جای داده است.

با توجه به گستردگی آسیب‌پذیری‌های مورد استفاده می‌توان حدس زد که مهاجمین به دنبال ترکیب مؤثری از باگ‌های IoT بوده‌اند. برخی باگ‌ها مربوط به دستگاه‌های قدیمی هستند که هنوز مورد استفاده‌اند و به علت قدیمی بودن قابلیت به‌روزرسانی ندارند و بعضی باگ‌ها آن‌قدر جدید هستند که احتمالاً کاربران هنوز فرصت به‌روزرسانی را پیدا نکرده‌اند.

نکته عجیب، سوء استفاده از باگی با شماره CVE-2019-17270 است که در نوعی قایق موتوری هوشمند (Yachtcontrol) وجود دارد. روی بورد این قایق یک وب سرور وجود دارد که با استفاده از آن کاربر می‌تواند از راه دور به قایق متصل شده و ویژگی‌های مختلف آن را کنترل یا رصد کند. به عنوان مثال کاربر می‌تواند دوربین‌های نصب شده روی قایق را کنترل کند. با استفاده از این باگ می‌توان روی بورد قایق، از راه دور کد اجرا کرد. یکی از باگ‌ها نیز مربوط به سیستم پرداخت آنلاین CCBill است. یکی دیگر از باگ‌ها محصول NetScaler شرکت سیتریکس (Citrix) را تحت تأثیر قرار می‌دهد.

به گفته محققان شرکت امنیتی Unit 42، این بات‌نت در ماه اکتبر با 11 کد بهره‌برداری جدید تنها به مدت چند ساعت فعال بود و سپس غیرفعال شد تا اینکه بار دیگر در اوایل دسامبر با دو بهره‌برداری دیگر مجدداً ظاهر شد. قبل از این نسخه، سوء استفاده‌ای از این باگ‌ها مشاهده نشده بود.

اکوبات گونه‌ای از بات‌نت میرای (Mirai) است. گونه‌های مختلف میرای همچنان در حال ظهور هستند. در اکتبر 2016 میرای با استفاده از نام کاربری و پسورد پیش فرض به تجهیزات IoT دسترسی یافته و آن‌ها را آلوده کرد و سپس این تجهیزات را در حملات DDoS مورد استفاده قرار داد. معروف‌ترین این حملات، سرورهای Dyn (یک سرویس‌دهنده DNS) را هدف قرار داد که باعث شد چندین سایت معروف از دسترس خارج شوند. بعدها کد منبع میرای منتشر شد و در نتیجه گونه‌های دیگری از این بات‌نت ایجاد شدند.

منبع: Threatpost

کلمات کلیدی