Strategią stosowaną przez złośliwych napastników w celu zwiększenia skali cyberataków jest wykorzystanie botnetów.
Botnet to sieć komputerów, które zostały zainfekowane złośliwym oprogramowaniem i są zdalnie kontrolowane przez złośliwego aktora. Taki złośliwy aktor kontrolujący grupę zainfekowanych komputerów nazywany jest pasterzem botów. Poszczególne zainfekowane urządzenia są określane jako boty.
Pasterze botów dowodzą i kontrolują grupę zainfekowanych komputerów, umożliwiając im przeprowadzanie cyberataków na znacznie większą skalę. Botnety były szeroko wykorzystywane w atakach typu „odmowa usługi” na dużą skalę, phishingu, atakach spamowych i kradzieży danych.
Przykładem złośliwego oprogramowania, które od tego czasu zyskało rozgłos dzięki porywaniu urządzeń cyfrowych w celu tworzenia bardzo dużych botnetów, jest złośliwe oprogramowanie Mirai Botnet. Mirai to złośliwe oprogramowanie typu botnet, które atakuje i wykorzystuje luki w zabezpieczeniach urządzeń Internetu rzeczy (IoT) z systemem Linux.
Po infekcji Mirai przejmuje kontrolę nad urządzeniem IoT, zamieniając je w zdalnie sterowanego bota, którego można użyć jako części botnetu do przeprowadzania masowych cyberataków. Mirai został napisany przy użyciu C i GO.
Złośliwe oprogramowanie zyskało na znaczeniu w 2016 r., kiedy zostało użyte w rozproszonym ataku typu „odmowa usługi” (DDOS) na firmę DYN, dostawcę systemu nazw domen. Atak uniemożliwił internautom dostęp między innymi do takich stron jak Airbnb, Amazon, Twitter, Reddit, Paypal i Visa.
Złośliwe oprogramowanie Mirai było również odpowiedzialne za ataki DDOS na witrynę Krebs on Security zajmującą się cyberbezpieczeństwem oraz francuską firmę zajmującą się przetwarzaniem w chmurze OVHCloud.
Spis treści:
Jak powstał Mirai
Złośliwe oprogramowanie Mirai zostało napisane przez Parasa Jha i Josiaha White’a, którzy w tamtym czasie byli studentami po dwudziestce, a także założycielami ProTraf Solutions, firmy oferującej usługi łagodzenia skutków DDOS. Mirai Malware zostało napisane przy użyciu języków programowania C i Go.
Początkowo ich celem dla Mirai było zniszczenie konkurencyjnych serwerów Minecraft za pomocą ataków DDOS, aby mogli zdobyć więcej klientów, eliminując konkurencję.
Ich użycie dla Mirai zmieniło się następnie w wymuszenia i ściąganie haraczy. Duet przeprowadzał ataki DDOS na firmy, a następnie kontaktował się z zaatakowanymi firmami, aby oferować środki zaradcze DDOS.
Mirai Botnet zwrócił uwagę władz i społeczności zajmującej się cyberbezpieczeństwem po tym, jak został użyty do usunięcia strony internetowej Krebs on Security i jej ataku na OVH. Gdy Mirai Botnet zaczął pojawiać się na pierwszych stronach gazet, twórcy ujawnili kod źródłowy Mirai Botnet na publicznie dostępnym forum hakerskim.
Była to prawdopodobnie próba zatarcia śladów i uniknięcia odpowiedzialności za ataki DDOS przeprowadzone przy użyciu botnetu Mirai. Kod źródłowy botnetu Mirai został wykorzystany przez innych cyberprzestępców, co doprowadziło do stworzenia wariantów botnetu Mirai, takich jak Okiru, Masuta i Satori oraz PureMasuta.
Twórcy botnetu Mirai zostali jednak później schwytani przez FBI. Jednak nie trafili do więzienia, a zamiast tego dostali lżejsze wyroki, ponieważ współpracowali z FBI przy chwytaniu innych cyberprzestępców i zapobieganiu cyberatakom.
Jak działa botnet Mirai
Atak Mirai Botnet obejmuje następujące kroki:
Warto zauważyć, że botnet Mirai był dostarczany z zakresami adresów IP, których nie atakował ani nie infekował. Obejmuje to sieci prywatne i adresy IP przypisane do Departamentu Obrony Stanów Zjednoczonych i Poczty Stanów Zjednoczonych.
Typy urządzeń, na które atakuje Mirai Botnet
Głównym celem Mirai Botnet są urządzenia IoT korzystające z procesorów ARC. Według Parasa Jha, jednego z autorów bota Mirai, większość urządzeń IoT zainfekowanych i używanych przez botnet Mirai to routery.
Jednak lista potencjalnych ofiar botnetu Mirai obejmuje inne urządzenia IoT korzystające z procesorów ARC.
Może to obejmować inteligentne urządzenia domowe, takie jak kamery bezpieczeństwa, elektroniczne nianie, termostaty i inteligentne telewizory, urządzenia do noszenia, takie jak monitory fitness i zegarki, oraz medyczne urządzenia IoT, takie jak glukometry i pompy insulinowe. Przemysłowe urządzenia IoT i medyczne urządzenia IoT korzystające z procesorów ARC również mogą paść ofiarą botnetu Mirai.
Jak wykryć infekcję botnetem Mirai
Mirai Botnet został zaprojektowany tak, aby przeprowadzać ataki z ukrycia, dlatego wykrycie, że urządzenie IoT jest zainfekowane przez Mirai Botnet, nie jest łatwym zadaniem. Jednak nie są łatwe do wykrycia. Poszukaj jednak następujących wskaźników, które mogą sygnalizować możliwą infekcję Mirai Botnet na Twoim urządzeniu IoT:
- Wolne połączenie internetowe — botnet Mirai może powodować spowolnienie Internetu, ponieważ urządzenia IoT są wykorzystywane do przeprowadzania ataków DDoS.
- Nietypowy ruch w sieci — jeśli regularnie monitorujesz swoją aktywność w sieci, możesz zauważyć nagły wzrost ruchu w sieci lub wysyłanie żądań na nieznane adresy IP
- Zmniejszona wydajność urządzenia – Twoje urządzenie IoT działa nieoptymalnie lub wykazuje nietypowe zachowanie, takie jak samoczynne wyłączanie lub ponowne uruchamianie, może wskazywać na możliwą infekcję Mirai.
- Zmiany w konfiguracjach urządzeń — Mirai Botnet może wprowadzać zmiany w ustawieniach lub domyślnych konfiguracjach urządzeń IoT, aby ułatwić wykorzystanie i kontrolowanie urządzeń w przyszłości. Jeśli zauważysz zmiany w konfiguracjach swoich urządzeń IoT, a nie jesteś za nie odpowiedzialny, może to wskazywać na możliwą infekcję Mirai Botnet.
Chociaż istnieją oznaki, na które możesz uważać, aby wiedzieć, czy Twoje urządzenie zostało zainfekowane, czasami możesz ich nie zauważyć po prostu dlatego, że Mirai Botnet jest stworzony w taki sposób, że bardzo trudno go wykryć. W rezultacie najlepszym sposobem radzenia sobie z tym jest zapobieganie infekowaniu urządzeń IoT przez Mirai Botnet.
Jeśli jednak podejrzewasz, że urządzenie IoT zostało wykryte, odłącz je od sieci i podłącz ponownie dopiero po wyeliminowaniu zagrożenia.
Jak chronić swoje urządzenia przed infekcją Mirai Botnet
Kluczową strategią Mirai Botnet w infekowaniu urządzeń IoT jest testowanie kilku dobrze znanych domyślnych konfiguracji, aby sprawdzić, czy użytkownicy nadal używają domyślnych konfiguracji.
W takim przypadku Mirai loguje się i infekuje urządzenia. Dlatego ważnym krokiem w ochronie urządzeń IoT przed Mirai Botnet jest unikanie używania domyślnych nazw użytkowników i haseł.
Pamiętaj, aby zmienić dane uwierzytelniające i używać haseł, których nie można łatwo odgadnąć. Możesz nawet użyć generatora losowych haseł, aby uzyskać unikalne hasła, których nie można odgadnąć.
Kolejnym krokiem, który możesz podjąć, jest regularne aktualizowanie oprogramowania układowego urządzenia, a także instalowanie poprawek bezpieczeństwa, gdy tylko zostaną wydane. Firmy często wypuszczają poprawki bezpieczeństwa w przypadku wykrycia luk w zabezpieczeniach ich urządzeń.
Dlatego instalowanie poprawek bezpieczeństwa, gdy tylko zostaną wydane, może pomóc Ci wyprzedzić atakujących. Jeśli Twoje urządzenie IoT ma dostęp zdalny, rozważ jego wyłączenie, jeśli nie potrzebujesz tej funkcji.
Inne środki, które możesz podjąć, obejmują regularne monitorowanie aktywności sieciowej i segmentację sieci domowej, tak aby urządzenia IoT nie były podłączone do krytycznych sieci w domu.
Wniosek
Chociaż twórcy Mirai Botnet zostali zatrzymani przez władze, ryzyko infekcji Mirai Botnet nadal istnieje. Kod źródłowy Mirai Botnet został udostępniony publicznie, co doprowadziło do powstania śmiercionośnych wariantów Mirai Botnet, które atakują urządzenia IoT i mają większą kontrolę nad urządzeniami.
Dlatego przy zakupie urządzeń IoT należy wziąć pod uwagę zabezpieczenia oferowane przez producenta urządzenia. Kupuj urządzenia IoT, które mają funkcje bezpieczeństwa, które zapobiegają możliwym infekcjom złośliwym oprogramowaniem.
Ponadto unikaj używania domyślnych konfiguracji w swoich urządzeniach i regularnie aktualizuj oprogramowanie sprzętowe urządzenia oraz instaluj wszystkie najnowsze poprawki bezpieczeństwa, gdy tylko zostaną wydane.
Możesz także zapoznać się z najlepszymi narzędziami EDR do szybkiego wykrywania cyberataków i reagowania na nie.