黑客最近正在利用Mirai僵尸网络的一个变种来发起新一波的DDoS攻击，且攻击的目标针对的是金融机构。根据最新的分析，本次攻击至少利用了13000个被劫持的物联网设备，产生的流量高达30 Gbps，不过这远远低于其最高时的流量记录——620Gbps。

Recorded Future的研究人员在上周四首次报道了该Mirai变种的攻击技术细节，他们表示，该Mirai僵尸网络可能与2017年10月发现的IoTroop或Reaper僵尸网络有着密切的关联。

关于Mirai僵尸网络的的袭击事件，最近的一次是Recorded Future在1月27日至28日之间发现的。在这期间，有三家金融机构遭受了DDoS攻击。1月29日，荷兰银行表示他们遭到了DDoS攻击，而其他的荷兰银行也遭受了类似的攻击。其中，黑客在针对第一个目标进行攻击时，采用了DNS放大技术，流量达到了30Gbps。

研究人员认为，如果这些攻击是由IoTroop发起的的，那这意味着，该僵尸网络自2017年10月以来已经发展到利用其他物联网设备中的漏洞，并且可能会继续这样做以传播僵尸网络并促成更大的DDoS攻击。

根据之前对恶意软件的分析，IoTroop分享Mirai的部分代码。与Mirai类似，该恶意软件针对的是网络连接设备，例如由TP-Link，Avtech，MikroTik，Linksys，Synology和GoAhead等公司制造的无线网络摄像头。

Recorded Future指出，Mirai的最新版本不同于最初的Mirai和IoTroop恶意软件，Mirai和IoTroop是用于感染物联网设备的僵尸网络和恶意软件的名称。

研究人员表示，尽管很多物联网供应商和设备都曾出现在2017年10月发布的有关IoTroop的研究中，但大华CCTV数码摄像机，三星UE55D7000电视和许多基于Contiki（一个物联网开源操作系统）的设备制造商却没有注意到该报告，且都不知道易受到Reaper / IoTroop恶意软件的攻击，这意味着，物联网设备的安全管理将在未来带来更大的网络安全挑战。

目前，研究人员还未对这个最新的Mirai变体进行命名，因为它更有效的使用了IoTroop代码，允许恶意软件在攻击过程中被更新。IoTroop是使用灵活的Lua引擎和脚本构建的，这意味着它不会受限于以前攻击的静态，预先编程的攻击，它的代码可以很容易地即时更新。一旦有新的恶意攻击可用，大规模的老旧僵尸网络就可以立即开始实施新形式的恶意攻击。

根据研究人员的追踪，目前该变种的攻击目标区域主要遍布在俄罗斯、巴西和乌克兰，因为这些国家的物联网设备的防御措施都比较脆弱。

研究人员表示：

有关IoTroop攻击金融机构的消息越来越多，我们意识到，监控潜在的恶意软件并及时识别最新的僵尸网络将变得越来越重要。”

最近两年的Mirai攻击大事件

2016年10月，美国半个互联网的瘫痪，这起事件源于提供动态DNS服务的DynDNS遭到了大规模的DDoS攻击。导致许多使用DynDNS服务的网站遭遇访问灾难，其中包括Twitter、Airbnb、Reddit等一度瘫痪，Twitters甚至出现了近24小时0访问的局面。

自Mirai 2016年10月发布源代码以来，一些恶意软件变种已经出现。在Mirai源代码发布后，一个基于Linux的僵尸网络以弱telnet协议为目标，并通过IRC与被攻击的设备进行通信。2016年11月，Mirai变种对德国电信公司发动了大规模的DDoS攻击，该攻击导致近100万用户家庭网络服务中断。

就在今年1月，研究人员发现了一种名为Satori（Mirai Okiru）的Mirai变种， Mirai Okiru旨在针对基于ARC的系统。据悉，Mirai Okiru在被发现之前几乎没有任何的反病毒引擎可以检测到，再加上目前Linux物联网的威胁形势迅速变化，因此研究人员认为攻击者将会利用Mirai Okiru瞄准基于ARCCPU的物联网设备，从而导致毁灭性的影响。