Iako su tvorci malvera Mirai uhapšeni, varijante ovog virusa su i dalje aktivne na internetu.
Mirai je virus za IoT (Internet of Things) uređaje koji primarno pogađa rutere i nadzorne kamere. Izvorni kod za ovaj virus je objavljen krajem prošle godine na hakerskim forumima. Od tada je ovaj virus korišten za desetine razornih DDoS napada.
Istraživači iz Check Point-a su krajem novembra otkrili novu varijantu koju su nazvali Satori (poznat i kao Okiku). Satori se širi eksploatacijom ranjivosti u Huawei-ovom HG532 ruteru.
Ranjivost označena sa CVE-2017-17215 omogućava udaljeno izvršenje koda, vjeruje se da iza ovih napada stoji haker pod pseudonimom Nexus Zeta. On je odgovoran za nastanak Satori bot mreže koja je uplašila bezbjednosne istraživače zbog svog brzog rasta do veličine od nekoliko stotina hiljada kompromitovanih uređaja.
Na postojanje ovog virusa upozorilo je i Odjeljenje za informacionu bezbjednost – CERT Republike Srpske.
Satori skenira port 52869 i koristi CVE-2014-8361 propust (UPnP exploit koji utiče na Realtek, D-Link i druge uređaje) i skenira port 37215 i koristi 0-day (CVE-2017-17215) exploit koji pogađa Huawei HG532 rutere. Ova ranjivost je posljedica činjenice da je implementacija TR-064, protokola za daljinsko upravljanje, na Huawei uređajima izložena na javnom internetu preko Universal Plug and Play protokola (UPnP) na portu 37215.
Napadi na Huawei rutere primijećeni su u cijelom svijetu, ali ih je najviše bilo u Argentini, Turskoj, Ukrajini, Venecueli, Peruu, SAD, Italiji, Njemačkoj i Egiptu.
Istraživači su uočili da je u roku od samo 12 sati preuzeto 200 000 Huawei uređaja. Zbog ovog propusta tokom prošlpg vikenda intervenisali su i internet bezbjednjaci koji su uspjeli da obore servere bot mreže Satori, koja je u tom trenutku brojala između 500000 i 700000 botova.
Nakon prijavljivanja ovog propusta Huawei je objavio ažuriranje i upozorenje za ovu ranjivost koje možete pogledati ovdje.