Criminelen hebben de beruchte Internet of Things-malware Mirai aangepast voor het infecteren van Linux-servers. Het gaat om ongepatchte Linux-servers die via een kwetsbaarheid in Hadoop Yarn worden gecompromitteerd. Apache Hadoop is een framework voor dataverwerking en opslag van bigdata-applicaties die in geclusterde systemen draaien. Yarn is verantwoordelijk voor het toewijzen van systeembronnen en plannen van taken.
Een kwetsbaarheid in Hadoop Yarn maakt het mogelijk voor een aanvaller om willekeurige shellcommando's uit te voeren en malware te installeren. Het gaat dan om varianten van de Mirai-malware, die oorspronkelijk was ontwikkeld om Internet of Things-apparaten zoals ip-camera's en digitale videorecorders te infecteren. Bij de nu waargenomen aanvallen wordt alleen een x86-versie van Mirai geïnstalleerd.
IoT-apparaten draaien op allerlei architecturen. Ontwikkelaars van de verschillende Mirai-varianten moesten hier bij de ontwikkeling van hun malware rekening houden. Door zich op Linux-servers te richten zou het gebruik van alleen een x86-versie volstaan. Daarnaast hebben Linux-servers in een datacentrum meer bandbreedte tot hun beschikking dan de IoT-apparaten van thuisgebruikers, waardoor ze veel beter voor ddos-aanvallen zijn in te zetten, aldus Matthew Bing van securitybedrijf Netscout.
"Een handvol krachtige Linux-servers kan aanvallen genereren die overeenkomen met een veel groter IoT-botnet", aldus Bing. Hij merkt op dat de nu waargenomen aanvallen van een kleine groep aanvallers afkomstig lijken te zijn die handmatig op internet naar kwetsbare systemen zoeken. "Hun doel is duidelijk, zoveel mogelijk systemen met malware infecteren. Zodra er toegang is verkregen gedraagt Mirai op een Linux-server zich net als een IoT-bot en begint met het brute forcen van Telnet-gebruikersnamen en -wachtwoorden. Een verschil is dat tussen de kleine apparaten in het botnet nu ook krachtige Linux-servers aanwezig zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.