De code van een Mirai-variant, waarmee Huawei-routers botnet Satori werden ingesleurd, is deze week gepubliceerd op Pastebin. Beveiligers waarschuwen dat de code daarom op korte termijn zal verschijnen in IoT-botnets die onderzoekers behoorlijk zenuwachtig maken, zoals het relatief nieuwe en krachtige botnet Reaper.

Minecraft-servers

Het vervelende van de nieuwe botnets, zoals Mirai-variant Satori en Reaper, is dat ze de verwachtte evolutie vormen van Mirai. Dat eerste grote IoT-botnet verzamelde capaciteit behoorlijk simpel, namelijk door standaardwachtwoorden te gebruiken om onbeveiligde systemen te veroveren, blijkbaar in een strijd om Minecraft-servers offline te knikkeren.

De nieuwe IoT-botnetmalware mikt behalve op standaardconfiguraties op ongepatchte kwetsbaarheden om een groter bereik te hebben en persistent aanwezig te blijven op de machines; Mirai zat in het primaire geheugen en was daarmee door een reset zijn ankerpunt kwijt.

Chemo voor het internet

De verbeterde software bevat meestal een IP-scanner om kwetsbare systemen te detecteren en zich daarop te plaatsen. Met code zoals nu is gepubliceerd, kunnen botnets als Reaper nog eens honderdduizenden routers toevoegen.

Dezelfde code werd overigens ook gebruikt door BrickerBot, de malware die is gemaakt door een persoon die gebruikers wil dwingen hun spullen te beveiligen. Doen ze dat niet en BrickerBot vindt ze eerst, wordt de hardware permanent onbruikbaar gemaakt. De maker noemde dat 'chemotherapie voor het internet'. Die grey hat liet zijn queeste deze maand los en dumpte het project online.