Perubahan besar hadir dalam lingkungan malware IoT. Peneliti keamanan telah melihat versi malware IoT Mirai yang dapat berjalan pada berbagai macam arsitektur, dan bahkan pada perangkat Android.
Varian malware IoT Mirai ini disebut Sora, strain yang pertama kali terlihat pada awal tahun ini.
Versi awal tidak ada yang luar biasa, dan pembuat asli Sora segera pindah untuk mengembangkan versi Mirai Owari, tak lama setelah membuat Sora.
“SORA adalah proyek yang terbengkalai untuk saat ini dan saya akan terus bekerja pada OWARI,” kata Wicked, pembuat malware Sora, mengatakan dalam sebuah wawancara dengan NewSky Security.
Varian Mirai, Sora sedang membuat momentum comeback
Kode Sora ditinggalkan, tetapi tidak dilupakan. Ankit Anubhav, seorang analis malware dengan NewSky Security, mengatakan bahwa jumlah deteksi Sora terus meningkat sejak Juni.
Tampaknya pembuat malware lainnya mengambil inisiatif sendiri untuk mengembangkan kode SORA. Sebuah laporan yang diterbitkan Symantec menjelaskan satu versi Sora yang lebih baik.
Versi Sora baru dikompilasi dengan Aboriginal Linux
Hal yang menonjol tentang versi Sora baru ini adalah bahwa pembuat malware mengkompilasi dengan Aboriginal Linux, utilitas toolchain yang mengambil source code dan menghasilkan binari untuk sejumlah besar platform.
Sosok di balik strain baru ini menggunakan semua binari ini dalam proses infeksinya, mencoba menyebarkan varian Sora ke berbagai macam perangkat.
Begitu dia mengakses perangkat dengan menebak kata sandi SSH-nya, infeksi rutin akan mengunduh dan mengeksekusi daftar binari Sora, satu demi satu, sampai menemukan satu yang tepat untuk platform perangkat yang terinfeksi.
Varian Mirai Sora yang menggunakan Aboriginal Linux ini telah ada sejak Juli. Symantec mengatakan mereka menemukan binari yang berhasil dieksekusi pada sistem operasi Android dan Debian, platform yang belum pernah berhasil diinfeksi oleh Mirai sebelumnya.
Aktivitas Mirai terus meningkat
Troy Mursch, seorang peneliti keamanan yang berbasis di AS yang menjalankan pelacak Mirai, mengatakan bahwa Sora bukan satu-satunya yang terlihat bangkit, dan bahwa jumlah serangan Mirai terus meningkat sepanjang tahun.
Year-to-date, incoming traffic matching the Mirai-like signature has been observed from 86,063 unique source IPs.
Spikes of #botnet activity started in June. @circl_lu has shared a similar observation. pic.twitter.com/z0rMRVyI2I
— Bad Packets Report (@bad_packets) August 1, 2018
“Bahkan ketika perangkat di-reboot, mereka menjadi target baru lagi karena kerentanan yang mendasarinya tidak pernah diperbaiki,” kata Mursch, menunjukkan kesalahan pada perangkat yang sudah ketinggalan zaman yang tidak menerima perbaikan keamanan.
Sampai perubahan ini, Mirai akan terus mengancam lingkungan IoT dan seluruh Internet, secara umum.
