Namnet Torii kommer av att säkerhetsexperten Vesselin Bontchev, som först upptäckte det i september, fångade det i sin honungsfälla via Tor-nätverket.

Enligt forskarna på it-säkerhetsföretaget Avast är Torii inte en variant på Mirai, utan en nytt steg i evolutionen av IoT-baserade botnät, och det mest sofistikerade de sett hittills. Torii är skapat för att hålla låg profil, och ser närmast ut att fungera som en slags plattform för någonting annat – exakt vad är det ingen som vet.

För det första kan Torii köras på otroligt många arkitekturer, ungefär 15–20 stycken, till exempel x86-64, x86, ARM, MIPS, Motorola 68k, SuperH och PPC. ”Detta tyder på att ett grupparbete ligger bakom Torii, eftersom det vore extremt svårt för en enskild person att lyckas med detta” säger Martin Hron, en av säkerhetsforskarna på Avast, till The Parallax. Hron har hittat en server med över 100 versioner av Toriis skadliga program.

Torii sprider sig över Telnet (med svaga lösenord) och använder sex olika metoder för att hålla sig kvar på den smittade IoT-enheten. Det hjälper inte att starta om enheten, och det hjälper inte heller att försöka installera över Torii med annan skadlig kod.

Läs också: Oväntad nätattack: Luftburen hackare angriper bredbandsnätet

När en IoT-enhet väl är smittad sätter Torii igång med att skicka en massa information om enheten till sin server, så att Toriis operatörer sedan ska kunna skicka dit vilken kod eller nyttolast de behagar. Det tyder på att Torii är tänkt att fungera som en slags modulär plattform för framtida användning.

I skrivande stund har forskarna inte kunna se någon aktivitet i nätverket, som DDoS-attacker eller kryptovalutagrävare, bara att Torii har en bred uppsättning verktyg för att stjäla information och en modulär arkitektur för att kunna exekvera kommandon och program. Allt dolt under flera lager av kryptering, enligt Avast.

För att kunna bita sig fast i den smittade enheten, och alltid exekvera, använder sig Torii av sex olika metoder samtidigt:

1. Automatisk exekvering via injekterad kod i ~\.bashrc
2. Automatisk exekvering via @reboot-sektionen i crontab
3. Automatisk exekvering som systemdemon via systemd
4. Automatisk exekvering via /etc/init och PATH (som systemdemon)
5. Automatisk exekvering via modifiering av SELinux Policy Management
6. Automatisk exekvering via /etc/inittab

Läs också: Gigantiskt botnät upptäckt – tvingar en halv miljon maskiner att utvinna kryptovaluta

Men det finns ljus i tunneln. Det går relativt enkelt att upptäcka Torii om du misstänker smitta, eftersom den använder välkända nätverksprotokoll för att smitta IoT-enheter.

Först och främst använder Torii Telnet, vilket är enkelt att upptäcka, men den laddar även ned nyttolast från sina servrar. Givet att IoT-enheter har en ganska begränsad uppsättning funktioner, borde det gå att se om enheten uppför sig på ett sätt utöver det normala över nätverket.

Slutligen måste leverantörer och operatörer av IoT-nätverk uppdatera sina enheter med starka lösenord och dra ned på alla onödiga behörigheter.