По словам специалистов компании Qihoo 360 Netlab, ботнет Satori возобновил свою активность. Новая версия вредоносной программы проникает в оборудование для майнинга криптовалюты с установленным программным обеспечением Claymore и подменяет сервер и адрес кошелька жертвы на адрес и сервер, принадлежащие хакеру. Первые атаки нового варианта Satori начались 8 января.
Оригинальная версия Satori появилась в начале декабря и являлась глубокой модифициукацией вредоносной программы Mirai. Программа Satori в отличие от Mirai осуществляла взломы устройств не посредством метода полного перебора, а с помощью эксплоитов для уязвимостей в устаревшей прошивке. Ботнет Satori осуществлял сканирование портов 52869 (на предмет наличия уязвимости в прошивки от Realtek) и 37215 (в поисках уязвимости в роутерах Huawei). ИБ-эксперты оперативно отреагировали на угрозу, отключив командный сервер Satori через две недели после его запуска.
Спустя три недели затишья ботнет возобновил свою активность. Кроме двух упомянутых эксплоитов, новый вариант вредоносной программы работает с еще одним новым. Теперь Satori осуществляет сканирование порта 3333 и задействует эксплоит для уязвимости в майнере Claymore. Эксперты из соображений безопасности не опубликовали подробную информацию об уязвимости. Известно лишь, что она касается интерфейса управления Claymore и дает хакеру возможность взаимодействия с устройством без прохождения аутентификации.
Используя вредоносную программу, хакер подменяет сервер и кошелек жертвы на свой кошелек и сервер для майнинга Ethereum. Пока что злоумышленник успел получить около 980 долларов. В случае, если владелец взломанных устройств заметит неладное, хакер оставил записку, в которой охарактеризовал проделанные им операции как не вредоносные, хотя это ложь.
