Chodzi tu o miliardy urządzeń zainstalowanych w domach, firmach, fabrykach czy samochodach, które wysyłają zbierane przez siebie dane do Internetu. Hakerzy biorą na cel głównie właśnie takie linuksowe urządzenia, inicjując często masowe ataki typu DDoS, paraliżujące skutecznie pracę takich systemów. W efekcie potrafią np. unieruchomić całą fabrykę czy sieć energetyczną. Generowany przez hakerów śmieciowy ruch jest wtedy po prostu tak duży, że cała atakowana sieć IoT pada.

Badanie przeprowadzone przez jedną z firm specjalizujących się w ochronie infrastruktur IoT przed poczynaniami hakerów - CrowdStrike pokazuje, że w 2021 roku hakerzy atakowali sieci IoT, posługując się najczęściej takimi programami jak XorDDoS, Mirai i Mozi. Tak było w przypadku 20% wszystkich ataków na linuksowe urządzenia obsługujące sieci IoT. Te programy były również głównym motorem oprogramowania malware atakującego wszystkie systemy oparte na Linuksie, zaś ilość takich ataków wzrosła w 2021 roku (w porównaniu z poprzednim) o 35%.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Czy Elon Musk reaktywuje usługę Vine?
• 8 błędów strategii danych, których należy unikać

Malware Mozi (który pojawił się w 2019 roku) to botnet typu peer-to-peer, który wykorzystuje rozproszoną tablicę mieszającą (DHT) i wykorzystuje słabe hasłach Telnet używane do logowania się do takich urządzeń IoT jak rejestratory wideo. W 2021 roku odnotowano aż dziesięciokrotny wzrost ataków na urządzenia IoT bazujące właśnie na tym szkodliwym oprogramowaniu.

XorDDoS to kolejny linuksowy botnet przeprowadzający ataki DDoS, którego istnienie odnotowano pierwszy raz w 2014 roku. Skanuje on sieć w poszukiwaniu urządzeń linuksowych wykorzystujących oprogramowanie SSH, które nie są chronione silnym hasłem lub kluczami szyfrowania. Próbuje wtedy odgadnąć hasło, po to aby haker mógł zdalnie kontrolować urządzenie.

Niedawno XorDDoS zaczął atakować źle skonfigurowane, funkcjonujące w chmurach klastry Docker. To ważne, gdyż wcześniej atakował wyłącznie podłączone do Internetu inteligentne urządzenia sieciowe, głównie routery. Kontenery platformy Docker są atrakcyjne dla złośliwego oprogramowania do wydobywania kryptowalut, ponieważ zapewniają większą przepustowość, silny procesor i dużą pamięć. Ponieważ wiele urządzeń IoT zostało już zainfekowanych, klastry Docker stały się alternatywnym celem.

Niektóre warianty narzędzia XorDDoS skanują serwery Docker poszukując w nich otwarty portem 2375, co może dać atakującemu dostęp do komputera, mając uprawnienie root.

Szacuje się, że liczba ataków z wykorzystaniem złośliwego oprogramowania XorDDoS wzrosła o prawie 123% w 2021 roku w porównaniu z 2020 r.

Z kolei malware Mirai atakuje głównie serwery linuksowe chronione słabymi hasłami. Najbardziej rozpowszechnione obecnie warianty tego szkodliwego oprogramowania noszą nazwy Sora, IZIH9 i Rekai.