Tüm dünya hala, Dyn’in DNS sağlayıcısına karşı büyük çapta dağıtılmış hizmet reddi (DDoS) saldırıları başlatarak büyük çaplı internet kesintilerine neden olan Mirai IoT Botnet’le uğraşıyor ve araştırmacılar başka kötü bir IoT botnet’i buldular. MalwareMustDie’deki güvenlik araştırmacıları, Linux tabanlı güvensiz İnternet Nesneleri (IoT) cihazlarını devasa DDoS saldırılarını gerçekleştirmek için bir botnet’e dönüştürmek için tasarlanmış yeni bir kötü amaçlı yazılım ailesi keşfettiler .
Linux / IRCTelnet adlı Dublaj , kötü niyetli kötü amaçlı yazılım C ++ ile yazılmıştır ve tıpkı Mirai kötü amaçlı yazılımları gibi , savunmasız Linux tabanlı IoT cihazlarını enfekte etmek için varsayılan şifreli şifrelere dayanmaktadır. IRCTelnet kötü amaçlı yazılım bir aygıtın Telnet bağlantı noktalarını kaba bir şekilde zorlayarak, aygıtın işletim sistemini etkileyerek ve daha sonra IRC (Internet Relay Chat) aracılığıyla kontrol edilen bir botnet ağına ekleyerek çalışır – metin biçiminde iletişimi sağlayan bir uygulama katmanı protokolüdür.
Bu nedenle, her virüslü bot (IoT aygıtı) zararlı bir IRC kanalına bağlanır ve bir komut ve kontrol sunucusundan gönderilen komutları okur. Araştırmacılara göre botları yönetmek için IRC kullanma kavramı, Kaiten kötü amaçlı yazılımından ödünç alınmıştır. IRCTelnet botnet kötü amaçlı yazılımını oluşturmak için kullanılan kaynak kodu, önceki Aidra botnet’ini temel alır. Kötü amaçlı yazılım Telnet bağlantı noktalarını Internet’e maruz bırakmak için kötü amaçlı yazılım, “sızdırılmış” hassas IoT cihazının Mirai botnet’ten giriş bilgisini kullanır .
IRCTelnet kötü amaçlı yazılım, Linux Kernel sürüm 2.6.32 veya daha yüksek bir sürümü çalıştıran güvensiz aygıtları bozar ve tarayıcı IPv4 üzerinden Telnet’i bulmak ve yönlendirmek için programlanmış olsa da, sahte IPv4 ve IPv6 adresleriyle DDoS saldırılarını başlatabilir. Araştırmacılar, blog postasında “Botnet, UDP sel, TCP sel, IPv4 ve IPv6 protokollerinde IPv4 protokolü ve IPv6 protokolü gibi çok sayıda IP parolası seçeneği ile DoS saldırı mekanizmasına sahip.”
Kötü amaçlı yazılımın kaynak kodunu analiz ederken, araştırmacılar, kullanıcının iletişim arayüzünde sabit kodlanmış İtalyanca dil mesajları buldu ve bu da IRCTelnet kötü amaçlı yazılımın yazıcısının İtalyanca olabileceğini gösteriyor. Güvenlik firması, IRCTelnet’in kötü amaçlı yazılımından etkilenen yaklaşık 3,400 bot bulunduğunu ve bu kötü amaçlı kötü amaçlı yazılımın sadece 5 gün içinde yaklaşık 3.500 bot müşterisini yetiştirebileceğini söyledi. IRCTelnet’in kötü amaçlı yazılımını dağıtan ilk taramalar, Türkiye, Moldova ve Filipinler’de bulunan IP adreslerinden geldi.
Son zamanlardaki savunmasız tehdit ortamını kullanan efsanevi, büyük bir botnet oluşturmak, büyük web sitelerine erişilemeyen ve DDoS saldırısını rekor kıran Dyn’e karşı son DDoS saldırısı gibi daha fazla olayı davet ediyor. Fransız İnternet servisine ve hosting sağlayıcısı OVH’ye karşı.