پژوهشگران امنیت سایبری یک باتنت اینترنت اشیای در حال ظهور جدیدی کشف کردهاند که از دستگاههای هوشمند آسیبدیده برای انجام حملات منع سرویس توزیعشده که بهطور بالقوه در صورت تقاضا در بسترهای ارائهی خدمات DDoS-for-hire اتفاق میافتند، استفاده میکند. پژوهشگران بیتدیفندر این باتنت را «dark-nexus» نامیدهاند که با استفاده از حملات credential stuffing علیه انواع دستگاهها مانند مسیریابها، دستگاههای ضبط ویدئو و دوربینهای حرارتی برای به کار گرفتن آنها کار میکند.
تاکنون، dark-nexus حداقل شامل ۱٬۳۷۲ ربات است که بهعنوان یک پروکسی معکوس عمل میکنند و در نقاط مختلفی در چین، کرهی جنوبی، تایلند، برزیل و روسیه گسترش مییابند.
پژوهشگران بیان کردند که اگرچه ممکن است برخی از ویژگیهای آن با باتنتهای اینترنت اشیای شناختهشده در گذشته مشترک باشد، اما روش توسعهی برخی از ماژولهای این باتنت، آن را قدرتمندتر میکند. بهعنوان مثال بار دادهها برای ۱۲ معماری مختلف پردازنده گردآوری میشوند و بهصورت پویا براساس پیکربندی قربانی توزیع میشوند. پژوهشگران بیتدیفندر با توجه به شباهتهای dark-nexus به بدافزار بانکی Qbot و Mirai بیان کردند که ماژولهای اصلی آن همان ماژولها هستند و با انتشار بیش از ۳۰ نسخه در بازهی زمانی بین ماه دسامبر سال ۲۰۱۹ میلادی تا ماه مارس سال ۲۰۲۰ میلادی، بهطور مکرر بهروزرسانی میشود.
پژوهشگران بیان کردند که کد راهاندازی این باتنت شبیه Qbot است که چند بار منشعب میشود، چند سیگنال را مسدود میکند و خود را از ترمینال جدا میکند. سپس به روش Mirai به یک درگاه ثابت (۷۶۳۰) متصل میشود و اطمینان حاصل میکند که یک نمونهی واحد از این باتنت میتواند در دستگاه اجرا شود. این باتنت سعی دارد که با تغییر نام خود به «/bin/busybox»، تغییرشکل دهد و خود را پنهان کند و از طریق تماسهای دورهای ioctl در دستگاه مجازی نظارت را غیرفعال کند.
زیرساخت آن شامل چند سرور دستور و کنترل است که دستورات راه دور را برای رباتهای آلوده صادر میکند و به سرورها گزارش میدهد که کدام رباتها اطلاعاتی دربارهی خدمات آسیبپذیر به اشتراک میگذارند. پس از انجام موفقیتآمیز حملهی کورکورانه، ربات در سرور c2 که معماری پردازندهی دستگاه را شناسایی میکند، ثبت میشود تا بار دادهی آلوده را از طریق Telnet انتقال دهد و باینریهای ربات و سایر مؤلفههای بدافزار را از یک سرور میزبان بارگیری و اجرا کند.
علاوهبرآن، برخی از نسخههای این باتنت (۴٫۰ تا ۵٫۳) با ویژگی پروکسی معکوس عرضه شدهاند که به قربانی اجازه میدهد بهعنوان یک پروکسی برای سرور میزبان عمل کند، درنتیجه دستگاه آلوده را مجبور میکند فایلهای اجرایی موردنیاز را بهصورت محلی بارگیری و ذخیره کند. dark-nexus با دستورات دائمی همراه است که با متوقف کردن سرویس cron و حذف مجوزهای خدماتی که ممکن است برای راهاندازی مجدد دستگاه موردنظر استفاده شوند، از راهاندازی مجدد دستگاه جلوگیری میکند.
پژوهشگران بیتدیفندر مشاهده کردند که dark-nexus بهطور منحصر به فرد از یک سیستم امتیازدهی مبتنی بر وزن و آستانه استفاده میکند تا ارزیابی کند که کدام فرآیند ممکن است خطر ایجاد کند. این سیستم شامل نگه داشتن فهرستی از فرآیندهای لیست سفید و PID آنها و خاتمه دادن فرآیندهای دیگری است که از یک آستانهی مشخص عبور میکنند.
این واقعیت که dark-nexus بر پایهی Mirai و Qbot ساخته شده است، اثبات میکند که روشهای درحال تکامل اپراتورهای باتنتها و نفوذگران بیتجربه به آنها اجازه میدهد که با بهرهبرداری از انواع آسیبپذیریها در دستگاههای اینترنت اشیای با امنیت پایین قابلتیتهای جدید به باتنتها اضافه کنند و ارتش باتنت پیشرفتهای جمع کنند.