بیش از ۱۰۰ هزار دوربین متصل به اینترنت، به یک بدافزار جدید در حوزه ی اینترنت اشیاء آلوده شده اند. این بدافزار از یک آسیب پذیری که اخیراً بر روی این محصولات کشف شده، بهره برداری می کند. این بدافزار Persirai نام داشته و دوربین های متصل به اینترنت ساخت کشور چین را از ماه گذشته آلوده می کند.
آسیبپذیری که این باتنت از آن بهرهبرداری میکند برای اجرای کد از راه دور مورد استفاده قرار گرفته و میتواند کنترل دستگاه آسیبپذیر را در اختیار نفوذگران قرار دهد. محققان امنیتی مدعی شدهاند این آسیبپذیری بیش از ۱۲۵۰ مدل دستگاه چینی را تحت تأثیر قرار داده و این مدلها در معرض آلودگی به این بدافزار قرار دارند.
ابزار پویش Shodan که دستگاههای سختافزاری در سطح اینترنت را نشان میدهد، نزدیک به ۱۲۰ هزار دوربین متصل به اینترنت را شناسایی کرده که در معرض این آسیبپذیری قرار دارند. بدافزار Persirai دوربینها را برای اضافه کردن به باتنت آلوده میکند. این باتنت در ادامه میتواند حملات منع سرویس توزیعشده را در سطح گسترده انجام دهد.
وقتی بدافزار Persirai دستگاه را آلوده کرد، آسیبپذیری که مورد بهرهبرداری قرار داده بود را وصله میکند تا دیگر بدافزارها از آن بهرهبرداری نکرده و به دستگاه دسترسی پیدا نکنند. محققان امنیتی گزارش کردهاند که ۴۳۶۲۱ دستگاه در چین به این بدافزار آلوده شدهاند.
نکتهی جالبی که در مورد این بدافزار وجود دارد این است که از کدهای بدافزار معروف Mirai استفاده میکند. بدافزار Mirai نیز دستگاههای اینترنت اشیاء را هدف قرار داده و با حدس گذرواژههای دستگاه و اجرای حملهی جستجوی فراگیر به این دستگاهها نفوذ میکند. محققان امنیتی میگویند بدافزار Persirai مانند باتنت Mirai در سطح اینترنت به پویش پرداخته و دستگاههای آسیبپذیر را کشف میکند.
اگرچه این باتنت میتواند به انجام حملات منع سرویس توزیعشده بپردازد ولی هنوز حملهای از طرف آن بر روی هیچ وبسایتی انجام نشده و به نظر میرسد توسعهدهندگان باتنت در حال حاضر عملیاتی شدن آن را مورد بررسی قرار میدهند.
محققان امنیتی از ذکر نام محصولاتی که تحت تأثیر این آسیبپذیری قرار گرفتهاند، خودداری کردهاند تا زمانیکه این آسیبپذیری توسط شرکتهای مربوطه وصله شود. هرچند به نظر میرسد پس از وصلهی آسیبپذیری اینکه بدانیم دقیقاً کدام محصولات آسیبپذیر بودهاند مشکل است چرا که تعداد مدلهایی که تحت تأثیر قرار گرفته گرفتهاند زیاد است.
با اینحال مالکان این دستگاهها میتوانند دوربینهای اینترنتی را پشت دیوارهی آتش قرار دهند و ارتباط بدافزار با سرورهای دستور و کنترل را مسدود کنند. محققان امنیتی پس از تجزیه و تحلیل بدافزار به این نتیجه رسیدند که سرورهای دستور و کنترل در ایران واقع شدهاند و در کدهای آن نیز از کاراکترهای فارسی استفاده میشود.
