Jak zabezpieczyć router przed atakami Mirai Botnet

Cyberprzestępcy, aby zwiększyć zasięg swoich ataków, często korzystają z botnetów. Jest to strategia, która pozwala im na przeprowadzenie działań na szeroką skalę.

Botnet to struktura sieciowa składająca się z komputerów, które zostały zainfekowane szkodliwym oprogramowaniem. Te zainfekowane maszyny są następnie kontrolowane przez zdalnego operatora, nazywanego „pasterzem botów”. Każde z przejętych urządzeń w takiej sieci określa się mianem „bota”.

Pasterze botów, kierując tymi grupami zainfekowanych komputerów, są w stanie realizować cyberataki o znacznie większym zasięgu i intensywności. Botnety stały się powszechnie wykorzystywane w atakach DDoS, oszustwach phishingowych, rozsyłaniu spamu oraz w kradzieży poufnych danych.

Jednym z najbardziej znanych przykładów złośliwego oprogramowania, które zasłynęło z masowego przejmowania urządzeń cyfrowych do budowy botnetów, jest Mirai. To konkretne oprogramowanie wyszukuje i wykorzystuje słabości zabezpieczeń w urządzeniach Internetu Rzeczy (IoT) działających na systemie Linux.

Po zainfekowaniu, Mirai przejmuje kontrolę nad urządzeniem IoT, przekształcając je w zdalnie sterowanego bota, który może być wykorzystany jako element botnetu do realizacji szeroko zakrojonych ataków. Mirai zostało stworzone przy użyciu języków programowania C i Go.

Oprogramowanie to zyskało negatywną sławę w roku 2016, kiedy zostało wykorzystane w ataku DDoS na firmę DYN, dostawcę usług DNS. Ten atak uniemożliwił użytkownikom dostęp do wielu popularnych stron internetowych, takich jak Airbnb, Amazon, Twitter, Reddit, Paypal i Visa.

Mirai było również sprawcą ataków DDoS na witrynę Krebs on Security, zajmującą się tematyką cyberbezpieczeństwa, oraz francuską firmę hostingową OVHCloud.

Jak powstało Mirai?

Autorami złośliwego oprogramowania Mirai byli Paras Jha i Josiah White, w tamtym czasie dwudziestoparoletni studenci, a jednocześnie założyciele firmy ProTraf Solutions, specjalizującej się w usługach minimalizowania skutków ataków DDoS. Mirai zostało stworzone przy pomocy języków programowania C oraz Go.

Pierwotnym celem Mirai było niszczenie serwerów konkurencyjnych gier Minecraft poprzez ataki DDoS. Miało to na celu pozyskanie większej liczby klientów poprzez wyeliminowanie konkurencji.

Później, zastosowanie Mirai zmieniło się w wymuszanie i szantaż. Autorzy przeprowadzali ataki DDoS na różne firmy, a następnie oferowali im swoje usługi w zakresie obrony przed takimi atakami.

Botnet Mirai zwrócił na siebie uwagę władz oraz społeczności specjalizującej się w cyberbezpieczeństwie po wykorzystaniu go do wyłączenia strony Krebs on Security oraz ataku na OVH. Kiedy Mirai stało się tematem głośnych publikacji, jego twórcy upublicznili kod źródłowy na forum hakerskim.

Prawdopodobnie była to próba zatarcia śladów i uniknięcia odpowiedzialności za przeprowadzone ataki DDoS. Udostępniony kod został wykorzystany przez innych cyberprzestępców, co doprowadziło do powstania nowych wariantów botnetu Mirai, takich jak Okiru, Masuta, Satori i PureMasuta.

Twórcy botnetu Mirai zostali ostatecznie schwytani przez FBI, jednak nie trafili do więzienia. Zamiast tego, otrzymali lżejsze wyroki za współpracę z FBI w ściganiu innych cyberprzestępców oraz zapobieganiu kolejnym cyberatakom.

Jak działa botnet Mirai?

Działanie ataku Mirai Botnet można podzielić na następujące etapy:

  • Na początku Mirai skanuje adresy IP w Internecie w celu zlokalizowania urządzeń IoT z systemem Linux, które posiadają procesor Arc. Następnie identyfikuje i atakuje te urządzenia, które nie są chronione hasłem lub używają domyślnych danych uwierzytelniających.
  • Po zidentyfikowaniu podatnych urządzeń, Mirai próbuje uzyskać dostęp do sieci, korzystając z listy znanych domyślnych danych uwierzytelniających. Jeśli urządzenie korzysta z domyślnych ustawień lub nie jest zabezpieczone hasłem, Mirai loguje się i infekuje je.
  • Następnie Mirai sprawdza, czy urządzenie nie zostało już wcześniej zainfekowane innym złośliwym oprogramowaniem. Jeśli tak, usuwa je, aby mieć pełną kontrolę nad zainfekowanym urządzeniem.
  • Urządzenie zainfekowane przez Mirai staje się częścią botnetu i może być zdalnie sterowane przez centralny serwer. Od tego momentu oczekuje na polecenia.
  • Zainfekowane urządzenia są wykorzystywane do ataków DDoS na szeroką skalę, kierowanych przeciwko stronom internetowym, serwerom, sieciom lub innym zasobom w Internecie.
  • Warto zauważyć, że Mirai został tak zaprogramowany, by nie atakować i nie infekować określonych zakresów adresów IP, w tym sieci prywatnych oraz adresów IP należących do Departamentu Obrony i Poczty Stanów Zjednoczonych.

    Typy urządzeń atakowanych przez Mirai Botnet

    Głównym celem botnetu Mirai są urządzenia IoT, które korzystają z procesorów ARC. Według Parasa Jha, jednego z twórców Mirai, większość urządzeń zainfekowanych przez ten botnet to routery.

    Jednak potencjalna lista ofiar Mirai obejmuje również inne urządzenia IoT z procesorami ARC.

    Mogą to być inteligentne urządzenia domowe, takie jak kamery bezpieczeństwa, elektroniczne nianie, termostaty, inteligentne telewizory, urządzenia ubieralne, takie jak smartwatche i opaski fitness, oraz medyczne urządzenia IoT, w tym glukometry i pompy insulinowe. Również przemysłowe i medyczne urządzenia IoT z procesorami ARC mogą stać się ofiarami botnetu Mirai.

    Jak wykryć infekcję botnetem Mirai

    Botnet Mirai został zaprojektowany tak, by działać w ukryciu, dlatego wykrycie infekcji urządzenia IoT przez to oprogramowanie nie jest zadaniem łatwym. Trudność w wykryciu jest celowa, jednak istnieją pewne wskazówki, które mogą sugerować infekcję:

    • Spowolnione połączenie internetowe – botnet Mirai, używając urządzeń IoT do ataków DDoS, może powodować znaczące spowolnienie prędkości Internetu.
    • Nietypowy ruch w sieci – jeśli regularnie monitorujesz ruch sieciowy, możesz zauważyć nagły wzrost przesyłanych danych lub wysyłanie żądań do nieznanych adresów IP.
    • Spadek wydajności urządzenia – jeśli twoje urządzenie IoT działa wolniej niż zwykle lub wykazuje nietypowe zachowania, takie jak samoczynne wyłączanie się lub ponowne uruchamianie, może to być oznaką infekcji Mirai.
    • Zmiany w konfiguracjach urządzenia – Mirai może wprowadzać zmiany w ustawieniach lub domyślnych konfiguracjach, aby ułatwić przyszłe wykorzystanie i kontrolę nad urządzeniem. Jeśli zauważysz nieautoryzowane zmiany w ustawieniach swoich urządzeń, może to wskazywać na infekcję.

    Pomimo istniejących sygnałów, na które należy zwracać uwagę, botnet Mirai jest tak skonstruowany, że jego wykrycie jest bardzo trudne. Dlatego najlepszym rozwiązaniem jest zapobieganie infekcji.
    Jeśli podejrzewasz, że urządzenie zostało zainfekowane, odłącz je od sieci i podłącz ponownie dopiero po usunięciu zagrożenia.

    Jak chronić urządzenia przed infekcją Mirai Botnet?

    Kluczową strategią Mirai jest testowanie dobrze znanych domyślnych konfiguracji, aby sprawdzić, czy użytkownicy nadal z nich korzystają. W takim przypadku, Mirai loguje się i infekuje urządzenie. Dlatego istotnym krokiem w ochronie jest zmiana domyślnych nazw użytkownika i haseł.

    Należy wprowadzić trudne do odgadnięcia hasła i, dla zwiększenia bezpieczeństwa, można użyć generatora losowych haseł, aby stworzyć unikalne i trudne do złamania kombinacje.

    Kolejnym działaniem jest regularna aktualizacja oprogramowania układowego urządzenia oraz instalowanie wszelkich poprawek bezpieczeństwa. Producenci często udostępniają poprawki, gdy wykryją luki w zabezpieczeniach swoich urządzeń. Instalacja aktualizacji pomaga w ochronie przed atakami. Jeśli twoje urządzenie IoT posiada funkcję zdalnego dostępu, rozważ jej wyłączenie, jeśli nie jest ci potrzebna.

    Dodatkowe środki obejmują regularne monitorowanie ruchu sieciowego i segmentację sieci domowej, tak by urządzenia IoT nie były połączone z kluczowymi elementami sieci.

    Podsumowanie

    Mimo że twórcy botnetu Mirai zostali ujęci przez władze, ryzyko infekcji nadal istnieje. Kod źródłowy Mirai został upubliczniony, co przyczyniło się do powstania nowych, groźnych wariantów, które atakują urządzenia IoT i mają nad nimi większą kontrolę.

    Przy zakupie urządzeń IoT, warto zwrócić uwagę na oferowane przez producenta zabezpieczenia. Kupuj urządzenia z wbudowanymi funkcjami bezpieczeństwa, które zapobiegają infekcjom złośliwym oprogramowaniem.

    Dodatkowo, unikaj korzystania z domyślnych konfiguracji oraz regularnie aktualizuj oprogramowanie i instaluj wszystkie najnowsze poprawki bezpieczeństwa.

    Warto również zapoznać się z narzędziami EDR, które umożliwiają szybkie wykrywanie i reagowanie na cyberataki.


    newsblog.pl