ボットネットマルウェア Mirai の亜種として ARC ベースのデバイスを標的にしたマルウェア Okiru が確認される

元記事

thehackernews.com

解析を行ったセキュリティ リサーチ ワーキング グループ MalwareMustDie のサイト:

www.malwaremustdie.org

Okiru について

• Mirai ボットネットの作成者はすでに有罪となり収監されているがソースコードが公開されているため亜種が多数出回っている
• そのひとつが Okiru ボットネットで、確認されているかぎりで初めて Linux OS の稼働する ARC プロセッサベースの組み込みデバイスを標的としたボットネットマルウェア
• VirusTotal に提供されたサンプルへのリンク
• ボットネット Mirai の亜種には ELF ベースの Linux を標的としたものは確認されているが、これまでは MIPS や ARM プロセッサが対象だった

ARC プロセッサについて

• ARC (Argonaut RISC Core) プロセッサは世界で 2 番目に多く利用されている CPU コアで、年間 20億台以上出荷されている
• 用途: モバイルデバイス、カメラ、ユーティリティメーター、テレビ、フラッシュドライブ、自動車や Iot など

予測される影響

• これまで記録されている最大の DDoS 攻撃は、Mirai によりボット化された 15 万台のデバイスによる 1TBps の攻撃
• 2016 年の DynDNS サービスが DDoS により停止したさいに攻撃に加担したボットの数は 10 万台と言われている
• 「もともとセキュリティ上に問題が多いとされる組み込みデバイスが数百万規模でボットネットに加わった場合の影響は深刻となりうる」

感染経路

• TBD (記事中およびリンクされたソース中で説明確認できず)