هزاران دوربین IP توسط یک بات نتِ اینترنت اشیاء به نام Persirai آلوده شده اند. این بات نت می تواند بیش از هزار مدل دوربین اینترنتی را هدف قرار دهد. این حمله در حوزه ی اینترنت اشیاء ELF_PERSIRAI نام داشته و گفته می شود توسط محققان ایرانی ترتیب داده شده است.
ترندمیکرو در مشاوره نامه ی خود عنوان کرده است: «دامنه های C&C که توسط این باتنت مورد استفاده قرار میگیرد دارای کدهای مربوط به کشورهای .IR هستند. این کد معمولاً در داخل کشور ایران مورد استفاده قرار میگیرد. ما همچنین کاراکترهای فارسی را نیز در این بدافزار شناسایی و کشف کردیم که توسط نویسندگان آن مورد استفاده قرار گرفته بود.»
باتنت Persirai براساس پروژهی متنباز Miari کار میکند. این موضوع نشان میدهد انتشار کد منبع بدافزار Mirai بهطور عمومی باعث شده تا مهاجمان از این کدها استفاده کرده و آن را برای اهداف مورد نظر خود تغییر دهند. باتنت Persirai در حال حاضر بسیار بیسروصدا عملیات خود را انجام میدهد بهطوری که حتی صاحب دوربین متوجه نمیشود که دستگاهش آلوده شده است.
نکتهی قابلتوجهی که در این حملات وجود دارد این است که رایانههای فرماندهیِ این باتنت بر روی دامنههای ایرانی در حال اجرا شدن هستند. دوربینهای آلوده در حال حاضر با آدرسهای زیر ارتباط برقرار میکنند:
- load.gtpnet.ir
- ntp.gtpnet.ir
- ۱۸۵٫۶۲٫۱۸۹٫۲۳۲
- ۹۵٫۸۵٫۳۸٫۱۰۳
باتنت Persirai پس از مستقر شدن بر روی دوربینها، پروندههای نصب را حذف میکند تا راهکارهای شناسایی بدافزار را دور بزند و تنها در داخل حافظه برای اجرا شدن قرار میگیرد. باتنت در ادامه نیز نرمافزارهای جانبی را برای عملیات کنترلی و مسدودسازی نصب میکند. پس از اینکه دوربین آلوده با سرور دستور و کنترل ارتباط برقرار کرد، عملیات پویش دیگر دوربینها و آلوده کردن آنها را آغاز میکند.
باتنت Persirai برای جلوگیری از حملات دیگر بر روی دوربین، آسیبپذیریهای روز-صفرم را مسدود میکند. این ویژگی ممکن است بهخاطر این باشد تا دوباره دستگاه توسط این باتنت آلوده نشود یا اینکه دوربین و کنترل آن در اختیار باتنتها و مهاجمان دیگر قرار نگیرد. حقیقت این است که این باتنت تنها در داخل حافظه قرار گرفته و اجرا میشود و پس از اینکه دوربین مجدداً راهاندازی شد، این بدافزار حذف خواهد شد ولی مسئلهای که وجود دارد این است که آسیبپذیریها همچنان برای بهرهبرداری پابرجا هستند.
به نظر میرسد تاکنون ۱۲۰ هزار دوربین IP در سراسر جهان توسط این باتنت آلوده شدهاند و بیش از ۳۰ درصد دوربینهای آلوده در کشور چین قرار دارند. ۸ درصد از دوربینها در آمریکا و در هریک از کشورهای انگلیس و ایتالیا نیز ۳ درصد از دوربینهای آلوده قرار دارند.
