Новый образец Mirai инфицировал 5 млн устройств по всему миру

Как сообщили эксперты компании Flashpoint, новый вариант вредоносного ПО Mirai, отключивший пользователям Deutsche Telekom доступ к интернету, инфицировал устройства по крайней мере в 10 странах. По данным исследователей, последняя версия трояна заразила порядка 5 млн устройств «Интернета вещей» по всему миру. Наибольшее число инфицированных систем насчитывается в Германии, Великобритании и Бразилии.

В отличие от оригинального Mirai новый вариант использует не TCP/23 (Telnet) и TCP/2323, а протоколы TR-064 и TR-069 через порт 7547. Если первоначальная версия взламывала устройства путем подбора заводских паролей, то обновленный троян эксплуатирует известную уязвимость.

Mirai инфицирует системы и делает их частью ботнета для DDoS-атак, использующегося в коммерческих целях, уверены эксперты. Более того, новая версия трояна была создана операторами уже существующего ботнета Mirai с целью добавить в сеть еще больше ботов. Обновленный вариант использует часть С&C-инфраструктуры оригинального Mirai, а значит, управляется той же группой киберпреступников.

Напомним, 27-28 ноября 900 тыс. клиентов немецкой компании Deutsche Telekom столкнулись с проблемами при попытке подключиться к интернету. Как оказалось, их маршрутизаторы содержали уязвимость, позволившую вредоносному ПО инфицировать систему. По словам исследователей, новый образец Mirai создан специально для эксплуатации уязвимости в маршрутизаторах Zyxel. Deutsche Telekom предоставила своим клиентам ПО для удаления Mirai, однако, судя по всему, злоумышленники будут и дальше совершенствовать троян.