Исследователи безопасности из компании Qihoo 360 Netlab зафиксировали всплеск активности ботнета Satori (один из вариантов Mirai). Ботнет включает в себя порядка 280 тыс. активных устройств.
По словам экспертов, вредоносное ПО Satori сканирует порты 37215 и 52869. Вредонос отличается от предыдущих вариантов Mirai. Если ранее различные версии Mirai заражали уязвимые устройства, а затем загружали компонент Telnet для сканирования интернета на предмет новых жертв, то Satori использует вместо данного компонента два встроенных эксплоита для удаленного подключения к устройствам. Таким образом Satori можно классифицировать как IoT-червя, способного распространяться самостоятельно без необходимости в загрузке отдельных компонентов, пояснили специалисты.
Исследователям удалось обнаружить 263 250 различных IP-адресов, сканирующих порт 37 215, и еще 19 403 IP-адресов, проверяющих порт 52869. Успех Satori во многом обусловлен эксплуатацией уязвимости нулевого дня в маршрутизаторах Huawei Home Gateway, позволяющей злоумышленнику удаленно выполнить код. В настоящее время имеется мало информации о данной уязвимости. Второй эксплоит предназначен для известной уязвимости в устройствах Realtek (CVE-2014-8361).
Исследователи связывают Satori с другим ботнетом на базе Mirai, обнаруженным в ноябре 2017 года. Ботнет включает около 100 тыс. ботов, большинство из которых находятся в Аргентине.
В настоящий момент неизвестно, принадлежат ли оба ботнета одному и тому же человеку. Исследователи отметили, что Satori и один из вариантов Mirai имеют одинаковые имена некоторых файлов, статические функции и ряд протоколов C2.
