Nieuw Internet of Things-botnet om Bitcoin te mijnen gevonden

Bots gebruiken voor Bitcoin-mijnbouw

Cryptocurrencies zouden in de toekomst transacties overnemen. Van de cryptocurrencies die er te vinden zijn, neemt Bitcoin een prominente plaats in. Bitcoin-mijnbouw is echter een soort uitdaging geworden. Dit heeft ingenieurs in de verleiding gebracht om de hulp in te roepen van de nieuwste technologie voor Bitcoin-mijnbouw. Dat is waar ze aandacht schonken aan Internet of Things (IoT). De technologische ontwikkeling wordt echter niet alleen gebruikt om de Bitcoin-mijnbouw te verbeteren. Het wordt door mensen gebruikt voor frauduleuze activiteiten. IBM heeft onlangs een dergelijke activiteit ontdekt.

Uit een recent onderzoek van IBM blijkt dat het Mirai Internet of Things-botnet wordt gebruikt om Bitcoin-mijncode op computers van de slachtoffers te installeren. Met aanvullend onderzoek kwamen ze erachter dat het Botnet is gebruikt voor enkele van de grotere DDoS-aanvallen die in het recente verleden hebben plaatsgevonden. Het uitschakelen van de DynDNS is een perfect voorbeeld van zo’n aanval. Volgens de experts is dit de grootste aanval in zijn soort tot nu toe.

Het Mirai Internet of Things Botnet

Het Mirai Internet of Things Botnet werd in augustus 2016 ontdekt. ​​Een white hat-beveiligingsgroep genaamd Malwaremustdie; Mirai kwam erachter na het uitvoeren van een uitgebreid project. Mirai heeft de mogelijkheid om de netwerkapparaten die op Linux draaien om te zetten in gecontroleerde zombies of bots, die kunnen worden gebruikt voor DDoS-aanvallen. Het kan echter alleen de apparaten gebruiken die zijn gebaseerd op verouderde versies van Linux. Dit verzamelt een aanzienlijk aantal apparaten die kunnen worden gebruikt om een ​​grootschalige aanval op te starten.

Het Mirai IoT-botnet is in eerste instantie gemaakt door het team van ingenieurs voor twee hoofddoeleinden. Deze doelen werden uitgelegd door Dave Mcmillen, Senior Threat Researcher, werkzaam voor Managed Security Services bij IBM. Het eerste doel van hen is om de IoT-apparaten te achterhalen en in gevaar te brengen om het botnet te laten groeien. Ten tweede was het Botnet bedoeld om te worden gebruikt om DDoS-aanvallen uit te voeren tegen vooraf gedefinieerde doelen. Tijdens een onlangs gehouden bijeenkomst heeft Dave Mcmillen deze twee doelstellingen uitvoerig toegelicht. X-Force is de eenheid voor beveiligingsonderzoek en bedreigingsinformatie van IBM. Het biedt bruikbare inzichten en informatie over dreigingsinformatie voor IT-leiders en bedrijven in nood. Veel bedrijven zijn afhankelijk van de informatie die X-Force hen verstrekt. X-Force heeft hen ook al geïnformeerd over dit IoT-aangedreven botnet en ze zijn op zoek gegaan naar bruikbare methoden om de risico’s die hierdoor kunnen optreden te verminderen..

Wat is er tot nu toe ontdekt?

De allereerste ontdekking over een botnet dat de Mirai-botvariant verspreidt, werd in januari ontdekt. Deze bot is echter niet iets nieuws. Volgens het wereldwijde onderzoeksteam van Kaspersky Lab is het er al geruime tijd. Bovendien voegden ze eraan toe dat de verspreidingsmethode van Mirai via Windows Bots beperkt is in vergelijking met de Linux-bots. In feite kunnen de Windows-bots gewoon een set Mirai-bots afleveren bij een Linux-host vanaf de Windows-host. Uit een onderzoek dat werd uitgevoerd door Kaspersky Lab bleek echter dat in februari meer dan 500 unieke systemen zijn aangevallen..

Kurt Baumgartner, Principal Security Researcher bij Kaspersky Lab, heeft er een officiële aankondiging over gedaan. Volgens Kurt Baumgartner is de cross-over tussen Windows en Linux een echte zorg geworden. Een door Windows aangedreven botnet dat IoT Mirai-bots verspreidt, kan de verspreiding van Mirai naar nieuwe apparaten vergemakkelijken. Het kan zich ook verspreiden naar de beschikbare netwerken, die voorheen niet beschikbaar waren voor de Mirai-operators. Kurt Baumgartner gelooft dat dit nog maar het begin is en dat we in de toekomst nog veel meer negatieve effecten zullen moeten ervaren..

Implementatie van de Bitcoin-mijncode

Een nieuwe versie van de ELF Mirai Linux Malware werd vorige week ontdekt door IBM X-Force. Deze variant heeft een nieuwe twist. Met andere woorden, het bestaat uit een ingebouwde Bitcoin-mijncomponent. McMillen heeft hierover ook een officiële aankondiging gedaan. Het gebruik van Mirai samen met de Bitcoin-mijnaanval begon op 20 maart. Het bereikte de piek op 25 maart, maar de activiteit ervan bestond gedurende een periode van 8 dagen.

McMillen en zijn team hebben nog geen bewijs kunnen vinden om aan te geven of de aanval van korte of lange duur is. Hij zegt echter dat het door de indicaties van de campagnes meer op een evenement met een korte cyclus lijkt.

De Bitcoin-client is niet zelfstandig in Mirai ingebed. In plaats daarvan spelen de Bitcoin-mijnwerkers een grote rol bij het archiveren van bestanden die in de Mirai-druppelaar kunnen worden gevonden. Deze druppelaar is een Linux-shell of een Dofloo-achterdeur en kan werken als een Bitcoin-mijnwerkerslaaf. Hoewel veel informatie over de aanvallers nog niet is ontdekt, verklaarde McMillen dat de meeste aanvallen uit de regio Azië-Pacific kwamen. Ze hebben ook de taal die bij de aanval werd gebruikt, geanalyseerd en vastgesteld dat deze op het Chinees was gebaseerd. McMillen verklaarde ook dat het team geen duidelijk begrip heeft of Bitcoins daadwerkelijk zijn gedolven tijdens deze aanval of niet. Er moet echter extra werk worden verzet om de mogelijkheden van de nieuwe variant te achterhalen. Op dit moment moeten alle belanghebbenden aanvullende maatregelen nemen om de beveiliging van hun apparaten te verbeteren en de risico’s te verkleinen.