Ботнет Satori снова активен

Новая версия Satori использует уязвимость в роутерах Dasan и веб-сервере GoAhead. Почти 80 % всех взломанных устройств находятся во Вьетнаме.

Реакция представителей Dasan на обнаруженную в их устройствах брешь

Представители компании Dasan, чьи устройства больше других пострадали от второй волны атак Satori, не дали комментариев по поводу обнаруженной уязвимости.

Мы пытались связаться с Dasan несколько раз с октября. Под «несколько раз» я имею в виду, вероятно, более 10 писем и несколько телефонных звонков. Наш корейский офис попытался связаться с ними по электронной почте и по телефону, но, за исключением краткого подтверждения того, что они получили наше сообщение, ничего получено не было.

Новая версия Satori

Как сообщают исследователи из NetLab 360, разработчики активно обновляют вредонос. Однако зараженные в конце 2017 года 260 000 устройств более не подконтрольны операторам Satori. Но, к сожалению, в IoT-устройствах много других уязвимостей. Помимо уже упомянутых «дыр», Satori стал использовать для распространения брешь в веб-сервере GoAhead, встроенном в беспроводные камеры и другие устройства. Однако представители компании заявили, что уязвимость не в сервере, а в веб-приложении, которое его использует.

Паскаль Джиненс, исследователь охранной фирмы Radware, сообщивший о новом варианте Satori, сказал, что не совсем понятно, для чего будет использоваться новая версия вируса. По его словам, скорее всего, данная модификация ботнета будет использоваться для майнинга или кражи криптовалюты.

Я предполагаю, что операторы ботнета пытаются следить за трендом и использовать вирус для добычи/кражи криптовалюты. Люди должны знать, что в будущем может появиться больше вариантов Satori, нацеленных на другие устройства IoT.

Напомним, вирус впервые был обнаружен в декабре 2017 года. Изначально вирус заражал устройства Realtek и Huawei и использовал их для DDoS-атак.