Persirai wykorzystuje luki w oprogramowaniu, które na początku tego roku wykrył analityk bezpieczeństwa Pierre Kim (White Hat haker).
Pierre Kim poinformował w marcu 2017 roku o wykrytej luce, która pozwala na uruchomienie kodu wykonywalnego, co skutkuje przejęciem kontroli nad webowym serwerem urządzenia oraz wykorzystaniem go do ataku DDoS. Pojawienie się Persirai świadczy, że informacje te zostały wykorzystane przez cyberprzestępców i rozpoczął się proces rozprzestrzeniania szkodliwego kodu wykorzystującego ujawnioną lukę.
Analityk nie mógł nawiązać kontaktu z producentami sprzętu i zidentyfikowć producenta odpowiedzialnego za firmware.
Wtedy Trend Micro stwierdziło, że oprogramowanie firmware zostało opracowane przez jednego z dużych, chińskich producentów OEM. Kamery sprzedawane później przez inne firmy pod ich własnymi markami rozprzestrzeniły potencjalny problem.
Trend Micro nie ujawnia nazwy producenta dopóki odpowiednie poprawki oprogramowania nie zostaną opublikowane. Dane dostarczone przez wyszukiwarkę Shodan ukazują, że na atak podatnych jest conajmniej 120 tysięcy już zainstalowanych w internecie kamer.
Analitycy firmy Qihoo 360 twierdzą, że w samych Chinach wykryli już ponad 43 tysiące kamer zainfekowanych przez Persirai, a na świecie jest ich prawdopodobnie wielokrotnie więcej.
Persirai wykorzystuje fragmenty kodu Mirai, szkodliwego oprogramowania, które po zainfekowaniu dziesiatek tysięcy urządzeń takich jak kamery wideo lub routery, zostało wykorzystane do przeprowadzenia ataków DDoS.
Nowy malware wyposażony jest w ulepszone mechanizmy skanowania globalnej sieci w celu odnalezienia podatnych na infekcję urządzeń. Po zainstalowaniu w kamerze, Persirai blokuje dostęp innych kodów, które chciałyby wykorzystać tą samą lukę.
Utworzony przez Persirai botnet, nie został jak narazie wykorzystany do przeprowadzenia masowych ataków. Cyberprzestępcy chcą prawdopodobnie rozszerzyć jego zasięg, lub zastanawiają się jeszcze jak go wykorzystać. Ostatnio jednak zidentyfikowano ataki na cztery duże systemy IT, których analiza sugeruje, że zostały przeprowadzone przy wykorzystaniu zainfekowanych kamer IP.