Demonbot

Demonbot on botnet-verkon ja haittaohjelman nimi, jota käytetään esineiden internetin (IoT) laitteiden tartuttamiseen. Uhan taustalla oleva koodi perustuu Mirai Botnetiin , IoT-laitteita tartuttavaan troijalaiseen, jonka lähdekoodi paljastettiin verkossa vuonna 2016.

Demonbot etsii verkkoa sopivien laitteiden löytämiseksi ja hyödyntää Hadoop-haavoittuvuutta niiden vaarantamiseksi. Käytännössä haittaohjelma hyödyntää YARN (Yet Another Resource Negotiator) -moduulissa todentamatonta koodin etäsuorittamisen haavoittuvuutta. Organisaatiot ovat käyttäneet tätä moduulia ensisijaisesti työn aikataulutukseen ja klusteriresurssien hallintaan.

Vaikka Demonbot on tunnettu mehiläisistä jo jonkin aikaa julkisesti, näyttää siltä, että jotkut verkkorikolliset kääntyvät edelleen sen puoleen uhkaavan toimintansa vuoksi. Itse asiassa äskettäisen hyökkäyksen IoT-laitteita vastaan on nähty kuljettavan Demonbot-muunnelman toisen Scarfacen kehittämän Mirai Botnet -muunnelman rinnalla. Kampanja on suunnattu yhteen satamaan - 60001, kun taas useita muita satamia näyttää käyttävän harhautuksena tai syötinä. Tutkijoiden mukaan 60001 on laajasti käytetty portti IoT-laitteiden joukossa, ja suurin osa on Defeway-kamerat, jotka vievät yli 90% kaikista tämän portin kameroista.