Эксперты по безопасности фирмы Avast обнаружили новый ботнет интернета вещей Torii, чьи возможности и особенности вызывают серьезную тревогу. По всей видимости, его создатели поставили себе цель сделать «идеальный» ботнет, — существующий максимально скрытно, поддерживающий максимальное количество платформ и пригодный для использования в любых целях.
По данным экспертов Avast, ботнет функционирует самое позднее с декабря 2017 г. Его вредоносный агент способен атаковать и выживать на архитектурах MIPS, ARM, x86, x64, PowerPC и SuperH.Первоначальные атаки направлены на порт 23, типичный для Telnet, однако соединения направляются через сеть Tor.
Если в атакуемой системе соединениеTelnet общедоступно и слабо защищено, агент Torii запускает сложный скрипт, который определяет архитектуру устройства. Скрипт также использует большое количество разных команд — wget, ftpget, ftp, busybox wget или busybox ftpget — чтобы гарантированно установить вредоносный двоичный код на целевую систему.
Первым в нее загружается так называемый дроппер (троян), использующий определенные методы скрытности и обеспечения сохранности себя в системе. То же самое касается и любых данных, которые закачивает дроппер.
Зачем именно создавался Torii и какие функции может выполнять, пока остается загадкой. Сегодня ботнеты интернета вещей чаще всего используются для DDoS-атак или криптомайнинга, однако ни того, ни другого эксперты пока воочию не наблюдали. Сейчас вредоносный агент Torii может выполнять на зараженном устройстве любые команды.