Mirai, och dess olika varianter, är ett botnät som hittills riktat in sig på små uppkopplade IoT-enheter som kameror, sensorer och mindre routrar. Den nya varianten riktar istället in sig på Linux-servrar genom att utnyttja svagheter i big data-plattformen Hadoop.

– Det är första gången vi ser en icke-IoT-variant av Mirai i det vilda, skriver Matthew Bing på Netscout till The Register.

Buggen i fråga publicerades på Github för åtta månader sedan och attackvektorn ligger i Hadoop-plattformens resurshanteringsteknik Yarn. Attacken går ut på att försöka injektera kommandon i Yarn.

Matthew Bing på Netscout skriver att de sett tusentals försök varje dag att utnyttja sårbarheten i Yarn, och av de 225 binärer förövarna försöker att injektera i offrens servrar är i vart fall “ett dussintal helt klart varianter på Mirai”.

Eftersom denna sårbarhet är mycket specifik, är denna variant av Mirai inte lika avancerad som de tidigare varianterna, som var riktade mot många typer av plattformar och behövde identifiera vilken av alla plattformar, som x86, x64, Arm, MIPS och så vidare den skulle rikta in sig på. Denna nya variant är endast intresserad av x86-maskiner.

Den nya Mirai försöker fortfarande att forcera maskinens fabriksinställning för användarnamn och lösenord genom telnet, men istället för att försöka installera främmande kod, skickar denna Mirai, om den lyckas, “hem” information om den infekterade maskinens ip-adress, användarnamn och lösenord.

Pascal Geenens på Radware varnar att trafiken mot sårbarheten i Yarn kör på högvarv med cirka 350 000 försök varje dag. Geenens skriver att om man har en publikt exponerad Yarn-tjänst så är det inte fråga om om, utan när man kommer bli utsatt för ett attack.

Läs också:
Han får böta ytterligare 8,6 miljoner dollar för botnätet Mirai
Varning: Torii är det mest avancerade IoT-botnätet hittills