Torii is opvallend geavanceerd IoT-botnet

IT-beveiligers hebben een bijzonder geavanceerd botnet ontdekt dat zich richt op IoT-devices. Het botnet wordt Torii genoemd en zit een stuk slimmer in elkaar dat eerdere Mirai-botnets. 

In een analyse schrijft antivirusbedrijf Avast dat de malware ontwikkeld moet zijn door iemand met veel verstand van zaken. Waar ontwikkelaars er meestal voor kiezen een relatief eenvoudige variant op Mirai te maken, gaat het hier om bijzonder geavanceerde malware. Het botnet gebruikt allerlei technieken om onder de radar te blijven en kan veel (gevoelige) informatie onderscheppen.

De malware gebruikt meerdere lagen van encryptie. Opvallend is ook dat het botnet zich richt op veel verschillende systemen. Het is in staat om onder meer MIPS-, ARM, x86, x64, PowerPC en SuperH-architecturen te infecteren. De Bulgaarse IT-beveiliger Vesselin Bontchev ontdekte de kwaadaardige software voor het eerst.

Het botnet gebruikt zwakke beveiliging van IoT-devices om binnen te dringen. Een script stelt vast om welke architectuur het gaat, waarna de malware wordt gedownload. Als dat niet via HTTP lukt, wordt voor FTP gekozen. Het doel van het botnet is niet duidelijk. De malware is mogelijk al sinds vorig jaar actief, maar lijkt nog niet te zijn gebruikt voor DDoS-aanvallen of cryptojacking.