Вперше зафіксований у 2016 році, ботнет Mirai вразив неймовірну кількість пристроїв, завдавши значних збитків глобальній мережі. Тепер він знову активізувався, ставши ще більш небезпечним, ніж раніше.
Нова, вдосконалена версія Mirai розширює масштаб заражень
18 березня 2019 року фахівці з кібербезпеки компанії Palo Alto Networks повідомили про модифікацію та оновлення ботнету Mirai, що дозволило йому діяти ще масштабніше. Дослідження показали, що Mirai використовує 11 нових експлойтів (загальна кількість зросла до 27) і новий набір стандартних адміністративних даних для доступу. Деякі з цих змін націлені на бізнес-обладнання, зокрема телевізори LG Supersign і бездротові системи для презентацій WePresent WiPG-1000.
Здатність Mirai проникати у корпоративну інфраструктуру та керувати бізнес-мережами робить його ще більш руйнівним. Як зауважив Ручна Нігам, старший дослідник загроз у Palo Alto Networks, ці нововведення надають ботнету розширену поверхню атаки. Особливо важливим є націлювання на корпоративні мережі, оскільки це відкриває доступ до більшої пропускної здатності, що, своєю чергою, посилює потужність ботнету для проведення DDoS-атак.
Ця модифікація Mirai продовжує атакувати домашні маршрутизатори, камери та інші пристрої, підключені до інтернету. Чим більше пристроїв вдасться заразити, тим масштабнішою буде деструктивна діяльність. Цікавим фактом є те, що шкідливе програмне забезпечення було розміщено на сайті, який спеціалізується на наданні послуг з “Електронної безпеки, інтеграції та моніторингу сигналізації”.
Mirai – ботнет, що атакує пристрої Інтернету речей (IoT)
У 2016 році ботнет Mirai був надзвичайно поширеним явищем. Він атакував маршрутизатори, системи відеозапису (DVR), IP-камери та інші пристрої, які часто відносять до категорії Інтернету речей (IoT), включаючи прості прилади, такі як термостати, що підключаються до мережі. Ботнети функціонують, заражаючи великі групи комп’ютерів та інших підключених до інтернету пристроїв, а потім змушуючи їх координовано атакувати певні системи або виконувати інші шкідливі дії.
Mirai експлуатував пристрої, які використовували стандартні адміністративні дані для входу, оскільки їх не змінювали користувачі, або ж вони були жорстко запрограмовані виробником. Ботнет захопив величезну кількість пристроїв. Навіть якщо більшість із них не були дуже потужними, їхня сукупна кількість дозволила досягти значно більшого ефекту, ніж міг би один потужний заражений комп’ютер.
Mirai контролював майже 500 000 пристроїв. Використовуючи цю об’єднану мережу IoT-пристроїв, Mirai порушив роботу таких сервісів, як Xbox Live і Spotify, а також веб-сайтів, наприклад, BBC і Github, цілеспрямовано атакувавши постачальників DNS. Внаслідок такої кількості заражених комп’ютерів, Dyn (провайдер DNS) зазнав атаки DDoS, яка спричинила трафік обсягом 1,1 терабайта. DDoS-атака полягає у перевантаженні цільового ресурсу величезним обсягом інтернет-трафіку, який він не в змозі обробити. Це призводить до тимчасового або повного відключення веб-сайту чи сервісу від мережі.
Оригінальних авторів програмного забезпечення ботнету Mirai було заарештовано, вони визнали провину та отримали умовні терміни. Деякий час Mirai був неактивним. Проте коду, який залишився, виявилося достатньо, щоб інші зловмисники могли взяти його під контроль і модифікувати для власних цілей. Тепер ми маємо справу з новою модифікацією Mirai.
Як захиститися від Mirai
Mirai, як і інші ботнети, використовує відомі експлойти для проникнення та зараження пристроїв. Він також намагається використовувати стандартні дані для входу, щоб отримати доступ до пристрою. Таким чином, основні методи захисту є досить очевидними.
Регулярно оновлюйте прошивку (та програмне забезпечення) усіх своїх пристроїв, як вдома, так і на роботі, що мають підключення до інтернету. Кіберзлам – це постійна гра в “кішки-мишки”, і як тільки дослідники виявляють новий експлойт, розробляються виправлення. Ботнети, такі як Mirai, процвітають на пристроях, які не мають оновлень, і ця нова версія не є винятком. Експлойти, націлені на бізнес-обладнання, були виявлені у вересні минулого року та у 2017 році.
Негайно змініть стандартні адміністративні дані (ім’я користувача та пароль) на всіх ваших пристроях. Для маршрутизаторів це можна зробити через веб-інтерфейс або мобільний додаток (якщо він доступний). Для інших пристроїв, до яких ви входите, використовуючи стандартне ім’я користувача або пароль, зверніться до інструкції з експлуатації.
Якщо ви можете увійти, використовуючи стандартне ім’я користувача, пароль “admin” або порожнє поле, це потрібно змінити. Обов’язково змінюйте стандартні облікові дані щоразу, коли налаштовуєте новий пристрій. Якщо ви вже налаштували пристрої і не змінили пароль, зробіть це негайно. Нова версія Mirai націлена на нові комбінації імен користувачів і паролів, що використовуються за замовчуванням.
Якщо виробник вашого пристрою припинив випуск оновлень прошивки, або ж він жорстко запрограмував стандартні адміністративні дані, які неможливо змінити, розгляньте варіант заміни пристрою.
Найкращий спосіб перевірити наявність оновлень – відвідати веб-сайт виробника. Знайдіть сторінку підтримки вашого пристрою і перевірте наявність оновлень прошивки, зверніть увагу на дату виходу останнього. Якщо з моменту останнього оновлення пройшло багато років, ймовірно, виробник більше не підтримує пристрій.
Також на сайті підтримки виробника ви можете знайти інструкції щодо зміни адміністративних даних. Якщо ви не можете знайти оновлення прошивки або інформацію про те, як змінити пароль пристрою, ймовірно, настав час замінити його. Не варто залишати постійно вразливі пристрої, підключені до вашої мережі.
Якщо остання версія прошивки, яку ви можете знайти, датована 2012 роком, слід замінити пристрій.
Заміна пристроїв може здатися радикальним кроком, але якщо вони вразливі, це найкращий варіант. Ботнети, як Mirai, не зникають. Ви повинні захищати свої пристрої. І, захищаючи їх, ви захищаєте решту інтернету.