Persirai wykorzystuje luki w oprogramowaniu, które w marcu 2017 roku wykrył niezależny analityk bezpieczeństwa Pierre Kim (White Hat haker).

Pierre Kim opublikował w marcu szczegółowe informacje o wykrytej luce, która pozwala na uruchomienie kodu wykonywalnego i w efekcie przejęcie kontroli nad webowym serwerem urządzenia oraz wykorzystanie go na przykład do ataku DDoS. Pojawienie się Persirai wydaje się świadczyć, że informacje te zostały szybko wykorzystane przez cyberprzestępców. Bo już w kwietniu Trend Micro wykryło, że rozpoczął się proces rozprzestrzeniania szkodliwego kodu wykorzystującego ujawnioną podatność.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS

Pierre Kim twierdzi, że miał problem z nawiązaniem kontaktu z producentami sprzętu i zidentyfikowaniem producenta odpowiedzialnego za firmware, bo wykrył ok. 1800 modeli kamer różnych marek, które są podatne na atak.

Trend Micro nie miało takiego problemu i stwierdziło, że oprogramowanie firmware zostało opracowane przez jednego z dużych, chińskich producentów OEM wytwarzających kamery wideo sprzedawane później przez inne firmy pod ich własnymi markami.

Przedstawiciele Trend Micro mówią, że są w kontakcie z tym producentem, ale nie ujawnią jego nazwy dopóki odpowiednie poprawki oprogramowania nie zostaną opublikowane. A dane dostarczone przez wyszukiwarkę Shodan świadczą, że na atak podatnych jest przynajmniej 120 tysięcy już zainstalowanych w internecie kamer.

To samo szkodliwe oprogramowanie zostało zidentyfikowane przez zajmującą się bezpieczeństwem firmę Qihoo 360, której analitycy twierdzą, że w samych Chinach wykryli już ponad 43 tysiące kamer wideo zainfekowanych przez Persirai, a na świecie jest ich prawdopodobnie znacznie więcej.

Persirai wykorzystuje fragmenty kodu Mirai, szkodliwego oprogramowania, które po masowym zainfekowaniu setek tysięcy urządzeń IoT takich jak kamery wideo, nagrywarki DVR lub routery, zostało wykorzystane do przeprowadzenia ataków DDoS.

Nowy malware został wyposażony w ulepszone mechanizmy skanowania internetu w poszukiwaniu podatnych na infekcję urządzeń. Oprócz tego, po zainstalowaniu w kamerze, Persirai blokuje dostęp innych kodów, które chciałyby wykorzystać tą samą podatność.

Utworzony przez Persirai botnet, jak dotąd nie został wykorzystany do przeprowadzenia spektakularnych, masowych ataków. Być może cyberprzestępcy chcą rozszerzyć jego zasięg lub zastanawiają się jeszcze jak go wykorzystać. Trend Micro informuje jednak, że ostatnio zidentyfikował ataki na cztery duże systemy IT, których analiza dowodzi, że zostały przeprowadzone przy wykorzystaniu zainfekowanych kamer IP.

Użytkownicy zawierających luki kamer mogą zabezpieczyć się sami umieszczając je za zaporą sieciową i blokując dostęp do serwerów C&C sterujących pracą szkodliwego oprogramowania. Z przeprowadzonych analiz wynika, że serwery te są zlokalizowane w Iranie. Więcej technicznych szczegółów na ten temat można znaleźć na blogu Trend Micro.