Новая версия Satori использует уязвимость в роутерах Dasan и веб-сервере GoAhead. Почти 80 % всех взломанных устройств находятся во Вьетнаме.
Реакция представителей Dasan на обнаруженную в их устройствах брешь
Представители компании Dasan, чьи устройства больше других пострадали от второй волны атак Satori, не дали комментариев по поводу обнаруженной уязвимости.
Мы пытались связаться с Dasan несколько раз с октября. Под «несколько раз» я имею в виду, вероятно, более 10 писем и несколько телефонных звонков. Наш корейский офис попытался связаться с ними по электронной почте и по телефону, но, за исключением краткого подтверждения того, что они получили наше сообщение, ничего получено не было.
Новая версия Satori
Как сообщают исследователи из NetLab 360, разработчики активно обновляют вредонос. Однако зараженные в конце 2017 года 260 000 устройств более не подконтрольны операторам Satori. Но, к сожалению, в IoT-устройствах много других уязвимостей. Помимо уже упомянутых «дыр», Satori стал использовать для распространения брешь в веб-сервере GoAhead, встроенном в беспроводные камеры и другие устройства. Однако представители компании заявили, что уязвимость не в сервере, а в веб-приложении, которое его использует.
Паскаль Джиненс, исследователь охранной фирмы Radware, сообщивший о новом варианте Satori, сказал, что не совсем понятно, для чего будет использоваться новая версия вируса. По его словам, скорее всего, данная модификация ботнета будет использоваться для майнинга или кражи криптовалюты.
Я предполагаю, что операторы ботнета пытаются следить за трендом и использовать вирус для добычи/кражи криптовалюты. Люди должны знать, что в будущем может появиться больше вариантов Satori, нацеленных на другие устройства IoT.
Напомним, вирус впервые был обнаружен в декабре 2017 года. Изначально вирус заражал устройства Realtek и Huawei и использовал их для DDoS-атак.
Источник: Ars Technica
