Як захистити свій маршрутизатор від атак ботнету Mirai

Стратегія, яку використовують зловмисники для збільшення своїх кібератак, полягає у використанні ботнетів.

Ботнет — це мережа комп’ютерів, які були заражені шкідливим програмним забезпеченням і дистанційно керовані зловмисником. Такий зловмисник, який контролює групу заражених комп’ютерів, називається пастухом ботів. Окремі заражені пристрої називаються ботами.

Боти-пастухи командують і контролюють групу заражених комп’ютерів, що дозволяє їм здійснювати кібератаки набагато більшого масштабу. Ботнети широко використовувалися для широкомасштабної відмови в обслуговуванні, фішингу, спам-атак і крадіжки даних.

Прикладом зловмисного програмного забезпечення, яке з тих пір стало відомим через викрадення цифрових пристроїв для створення дуже великих ботнетів, є зловмисне програмне забезпечення Mirai Botnet. Mirai — це зловмисне програмне забезпечення ботнету, яке націлено та використовує вразливості в пристроях Інтернету речей (IoT) під керуванням Linux.

Після зараження Mirai захоплює пристрій IoT, перетворюючи його на дистанційно керованого бота, який можна використовувати як частину ботнету для здійснення масових кібератак. Mirai було написано за допомогою C і GO.

Зловмисне програмне забезпечення набуло популярності в 2016 році, коли його використовували в атаці розподіленої відмови в обслуговуванні (DDOS) на DYN, постачальника системи доменних імен. Атака завадила користувачам Інтернету отримати доступ до таких сайтів, як Airbnb, Amazon, Twitter, Reddit, Paypal і Visa.

Зловмисне програмне забезпечення Mirai також було відповідальним за DDOS-атаки на сайт кібербезпеки Krebs on Security і французьку компанію хмарних обчислень OVHCloud.

Як створювався Mirai

Зловмисне програмне забезпечення Mirai написали Парас Джа та Джосія Вайт, які на той час були студентами, яким було близько 20 років, а також засновниками ProTraf Solutions, компанії, яка пропонувала послуги із захисту від DDOS. Зловмисне програмне забезпечення Mirai було написано з використанням мов програмування C і Go.

Спочатку їхня мета для Mirai полягала в тому, щоб знищити конкуруючі сервери Minecraft за допомогою DDOS-атак, щоб вони могли отримати більше клієнтів, покінчивши з конкуренцією.

Потім їх використання для Mirai перейшло до вимагання та рекету. Дует запускав DDOS-атаки на компанії, а потім звертався до компаній, які вони атакували, щоб запропонувати засоби пом’якшення DDOS.

Ботнет Mirai привернув увагу влади та спільноти кібербезпеки після того, як він був використаний для ліквідації веб-сайту Krebs on Security та його атаки на OVH. Коли Mirai Botnet потрапив у заголовки, творці злили вихідний код Mirai Botnet на загальнодоступному хакерському форумі.

Ймовірно, це була спроба замести сліди та уникнути відповідальності за DDOS-атаки, здійснені за допомогою Mirai Botnet. Вихідний код для Mirai Botnet був використаний іншими кіберзлочинцями, і це призвело до створення варіантів Mirai Botnet, таких як Okiru, Masuta і Satori, а також PureMasuta.

Однак пізніше ФБР затримало творців ботнету Mirai. Однак вони не були ув’язнені, а замість цього отримали більш м’які вироки, тому що вони співпрацювали з ФБР у захопленні інших кіберзлочинців і запобіганні кібератакам.

Як працює ботнет Mirai

Атака ботнету Mirai передбачає наступні кроки:

  • Mirai Botnet спочатку сканує IP-адреси в Інтернеті, щоб ідентифікувати пристрої IoT, на яких працює Linux на процесорі Arc. Потім він визначає та націлює пристрої, які не захищені паролем або використовують облікові дані за замовчуванням.
  • Визначивши вразливі пристрої, Mirai намагається використовувати різні облікові дані за умовчанням, щоб отримати доступ до мережі до пристрою. Якщо пристрій використовує конфігурації за замовчуванням або не захищено паролем, Mirai входить у пристрій і заражає його.
  • Потім Mirai Botnet сканує пристрій, щоб виявити, чи не заражено воно іншою шкідливою програмою. Якщо так, воно видаляє все інше зловмисне програмне забезпечення, щоб воно було єдиним зловмисним програмним забезпеченням на пристрої, надаючи йому більше контролю над пристроєм.
  • Після цього пристрій, заражений Mirai, стає частиною ботнету Mirai, і ним можна дистанційно керувати з центрального сервера. Такий пристрій просто чекає команд від центрального сервера.
  • Інфіковані пристрої потім використовуються для зараження інших пристроїв або використовуються як частина ботнету для проведення широкомасштабних DDOS-атак на веб-сайти, сервери, мережі чи інші ресурси, доступні в Інтернеті.
  • Варто зазначити, що Mirai Botnet поставляється з діапазонами IP-адрес, на які він не націлений і не заражає. Це включає приватні мережі та IP-адреси, призначені Міністерству оборони США та Поштовій службі США.

    Типи пристроїв, на які спрямована ботнет Mirai

    Основною ціллю Mirai Botnet є пристрої IoT, що використовують процесори ARC. За словами Параса Джа, одного з авторів бота Mirai, більшість пристроїв IoT, заражених і використовуваних ботнетом Mirai, були маршрутизаторами.

    Однак список потенційних жертв ботнету Mirai включає інші пристрої IoT, які використовують процесори ARC.

    Це може включати розумні домашні пристрої, такі як камери безпеки, радіоняні, термостати та смарт-телевізори, переносні пристрої, такі як фітнес-трекери та годинники, а також медичні пристрої IoT, такі як монітори рівня глюкози та інсулінові помпи. Промислові пристрої IoT і медичні пристрої IoT, що використовують процесори ARC, також можуть стати жертвами ботнету Mirai.

    Як виявити зараження ботнету Mirai

    Mirai Botnet створено для прихованої атаки, тому виявити, що ваш пристрій IoT заражено Mirai Botnet, непросте завдання. Однак виявити їх непросто. Однак зверніть увагу на такі індикатори, які можуть сигналізувати про можливе зараження Mirai Botnet на вашому пристрої IoT:

    • Уповільнене підключення до Інтернету – ботнет Mirai може спричинити уповільнення роботи Інтернету, оскільки ваші пристрої IoT використовуються для запуску DDOS-атак.
    • Незвичайний мережевий трафік – якщо ви регулярно відстежуєте свою мережеву активність, ви можете помітити раптове збільшення мережевого трафіку або надсилання запитів на незнайомі IP-адреси
    • Знижена продуктивність пристрою. Ваш IoT-пристрій не працює оптимально або демонструє незвичайну поведінку, як-от самостійне вимикання чи перезавантаження, може свідчити про можливе зараження Mirai.
    • Зміни в конфігураціях пристроїв – Mirai Botnet може вносити зміни до налаштувань ваших пристроїв IoT або конфігурацій за замовчуванням, щоб полегшити використання та контроль пристроїв у майбутньому. Якщо ви помітили зміни в конфігураціях своїх пристроїв IoT і не несете за них відповідальності, це може вказувати на можливе зараження Mirai Botnet.

    Хоча є ознаки, за якими ви можете стежити, щоб дізнатися, чи ваш пристрій заражено, часом ви можете не легко їх помітити просто тому, що Mirai Botnet створено таким чином, що його дуже важко виявити. Тому найкращий спосіб боротьби з цим — запобігти зараженню Mirai Botnet ваших пристроїв IoT.

    Однак, якщо ви підозрюєте, що IoT-пристрій було виявлено, від’єднайте його від мережі та повторно під’єднайте пристрій лише після усунення загрози.

    Як захистити свої пристрої від зараження Mirai Botnet

    Ключова стратегія Mirai Botnet щодо зараження пристроїв IoT полягає в тестуванні групи добре відомих конфігурацій за замовчуванням, щоб побачити, чи користувачі все ще використовують конфігурації за замовчуванням.

    Якщо це так, Mirai входить у систему та заражає пристрої. Тому важливим кроком у захисті ваших пристроїв IoT від Mirai Botnet є уникнення використання імен користувачів і паролів за замовчуванням.

    Обов’язково змініть свої облікові дані та використовуйте паролі, які важко вгадати. Ви навіть можете використовувати генератор випадкових паролів, щоб отримати унікальні паролі, які неможливо вгадати.

    Іншим кроком, який ви можете зробити, є регулярне оновлення мікропрограми вашого пристрою, а також встановлення патчів безпеки щоразу, коли вони випускаються. Компанії часто випускають патчі безпеки на випадок виявлення вразливостей в їхніх пристроях.

    Тому встановлення патчів безпеки щоразу, коли вони випускаються, може допомогти вам випередити зловмисників. Якщо ваш пристрій IoT має віддалений доступ, подумайте про те, щоб вимкнути його, якщо ця функція вам не потрібна.

    Інші заходи, які ви можете вжити, включають регулярний моніторинг вашої мережевої активності та сегментацію вашої домашньої мережі таким чином, щоб пристрої IoT не підключалися до критично важливих мереж удома.

    Висновок

    Незважаючи на те, що автори ботнету Mirai були затримані владою, ризик зараження ботнету Mirai все ще існує. Вихідний код Mirai Botnet був опублікований, і це призвело до створення смертоносних варіантів Mirai Botnet, які націлені на пристрої IoT і мають більше контролю над пристроями.

    Тому, купуючи пристрої IoT, функції безпеки, які пропонує виробник пристрою, повинні бути ключовим фактором. Купуйте пристрої IoT із функціями безпеки, які запобігають зараженню зловмисним програмним забезпеченням.

    Крім того, уникайте використання конфігурацій за замовчуванням у своїх пристроях і регулярно оновлюйте мікропрограму свого пристрою та встановлюйте всі останні виправлення безпеки щоразу, коли вони випускаються.

    Ви також можете ознайомитися з найкращими інструментами EDR, щоб швидко виявляти кібератаки та реагувати на них.