Зловмисники постійно вдосконалюють свої методи кібератак, і одним з поширених інструментів у їхньому арсеналі є ботнети.
Ботнет являє собою мережу комп’ютерів, які були інфіковані шкідливим кодом і перебувають під дистанційним управлінням хакера. Цей хакер, що контролює групу заражених машин, іменується “бот-пастухом”, а кожен окремий інфікований пристрій називається “ботом”.
Бот-пастухи можуть віддалено керувати великою кількістю заражених комп’ютерів, що дає їм змогу здійснювати масштабні кібератаки. Ботнети часто використовуються для атак типу “відмова в обслуговуванні” (DDoS), фішингу, спам-розсилок і викрадення конфіденційних даних.
Одним із прикладів шкідливого ПЗ, що отримало широку популярність завдяки використанню для формування масивних ботнетів, є Mirai Botnet. Mirai – це шкідлива програма, націлена на вразливості пристроїв Інтернету речей (IoT) під управлінням операційної системи Linux.
Інфікуючи пристрій IoT, Mirai перетворює його на віддалено керованого бота, що може бути залучений до масштабних кібератак. Цей ботнет був розроблений з використанням мов програмування C і Go.
Шкідливе ПЗ набуло широкого поширення у 2016 році, коли його використали під час DDoS-атаки на DYN, постачальника послуг доменної системи. Цей напад призвів до тимчасової недоступності таких популярних веб-сайтів, як Airbnb, Amazon, Twitter, Reddit, Paypal і Visa.
Зловмисне програмне забезпечення Mirai також стало причиною DDoS-атак на ресурс із кібербезпеки Krebs on Security та французьку хмарну компанію OVHCloud.
Історія створення Mirai
Авторами Mirai стали студенти Парас Джа та Джосія Вайт, яким на момент створення програми було близько 20 років. Вони також були засновниками ProTraf Solutions, компанії, яка пропонувала послуги захисту від DDoS-атак. Для створення шкідливого коду Mirai вони використовували мови програмування C та Go.
Початково метою Mirai було виведення з ладу серверів конкуруючих ігрових серверів Minecraft за допомогою DDoS-атак, щоб збільшити власну клієнтську базу.
Згодом застосування Mirai переросло в шантаж та вимагання. Автори влаштовували DDoS-атаки на різні компанії, а потім пропонували їм свої послуги з нейтралізації цих атак.
Ботнет Mirai привернув увагу правоохоронних органів та спільноти кібербезпеки після атаки на веб-сайт Krebs on Security та на OVH. Після того, як новини про Mirai Botnet з’явилися в заголовках преси, розробники виклали початковий код ботнету у відкритий доступ на одному з хакерських форумів.
Ймовірно, цей крок був зроблений для того, щоб замести сліди і уникнути відповідальності за DDoS-атаки, проведені з використанням Mirai Botnet. Відкритий код Mirai Botnet став основою для інших кіберзлочинців, що призвело до появи численних варіантів ботнету, таких як Okiru, Masuta, Satori та PureMasuta.
Згодом ФБР затримало розробників Mirai. Однак, їм не було призначено тюремного ув’язнення, натомість вони отримали більш м’які вироки, оскільки співпрацювали з ФБР у затриманні інших кіберзлочинців та запобіганні кібератак.
Принцип дії Mirai Botnet
Атака Mirai Botnet складається з наступних етапів:
- Спочатку Mirai Botnet проводить сканування IP-адрес в інтернеті з метою виявлення пристроїв IoT, які використовують процесор Arc на операційній системі Linux. Далі, вона визначає та націлюється на ті пристрої, які не захищені паролем або використовують стандартні облікові дані.
- Виявивши вразливі пристрої, Mirai намагається скористатися різними обліковими даними за замовчуванням для отримання доступу до пристрою. У разі використання стандартних налаштувань або відсутності пароля, Mirai успішно проникає в пристрій та інфікує його.
- Наступним кроком Mirai Botnet сканує пристрій, щоб виявити, чи не заражений він іншим шкідливим кодом. Якщо такий є, Mirai видаляє його, щоб забезпечити свій повний контроль над пристроєм.
- Після цього інфікований пристрій стає частиною Mirai Botnet, яким можна керувати дистанційно з центрального сервера. Такий пристрій чекає команд від центрального сервера.
- Інфіковані пристрої використовуються для подальшого зараження інших пристроїв або як частина ботнету для здійснення широкомасштабних DDoS-атак на веб-сайти, сервери, мережі або інші ресурси в Інтернеті.
Варто відзначити, що Mirai Botnet має перелік IP-адрес, які не підлягають скануванню та зараженню. До них відносяться приватні мережі та IP-адреси, що належать Міністерству оборони США та Поштовій службі США.
Типи пристроїв, що є мішенню Mirai Botnet
Головними цілями Mirai Botnet є пристрої IoT, що використовують процесори ARC. За словами одного зі співавторів Mirai, Параса Джа, більшість заражених пристроїв, що входять до складу Mirai Botnet, були роутерами.
Втім, потенційні жертви Mirai Botnet включають й інші пристрої IoT з процесорами ARC.
До них відносяться різноманітні розумні домашні пристрої, такі як камери безпеки, радіоняні, термостати та смарт-телевізори, а також портативні пристрої, наприклад, фітнес-трекери та годинники, а також медичні пристрої IoT, включаючи монітори рівня глюкози та інсулінові помпи. Також під загрозою можуть опинитися промислові пристрої IoT та медичні пристрої IoT, що використовують процесори ARC.
Як виявити зараження Mirai Botnet
Mirai Botnet розроблено для прихованих атак, тому виявити зараження вашого пристрою IoT може бути непросто. Однак, існують певні ознаки, що можуть вказувати на можливе інфікування Mirai Botnet:
- Уповільнення підключення до інтернету. Mirai Botnet може спричиняти зниження швидкості інтернету, оскільки ваш пристрій IoT використовується для здійснення DDoS-атак.
- Нетиповий мережевий трафік. Якщо ви регулярно відстежуєте активність вашої мережі, ви можете помітити раптове збільшення обсягу мережевого трафіку або відправку запитів на невідомі IP-адреси.
- Зниження продуктивності пристрою. Якщо ваш IoT-пристрій не працює оптимально або демонструє незвичайну поведінку, наприклад, самостійно вимикається або перезавантажується, це може бути ознакою зараження Mirai.
- Зміна налаштувань пристрою. Mirai Botnet може вносити зміни до конфігурацій ваших пристроїв IoT, щоб полегшити їх подальше використання та управління. Якщо ви помітили зміни в налаштуваннях своїх пристроїв, за які ви не несете відповідальності, це може бути ознакою зараження Mirai Botnet.
Хоча існують певні ознаки, за якими можна визначити інфікування, не завжди легко їх розпізнати, оскільки Mirai Botnet розроблено таким чином, щоб його було важко виявити. Тому найефективнішим способом боротьби є запобігання зараженню ваших пристроїв IoT шкідливим ПЗ.
У разі підозри на інфікування пристрою IoT, необхідно відключити його від мережі та підключити знову лише після усунення загрози.
Як захистити свої пристрої від зараження Mirai Botnet
Основою стратегії Mirai Botnet щодо зараження пристроїв IoT є використання стандартних налаштувань, що дозволяє визначити пристрої, на яких користувачі все ще використовують заводські параметри.
Знайшовши такі пристрої, Mirai проникає в них та інфікує. Тому важливим заходом для захисту ваших пристроїв IoT від Mirai Botnet є уникнення використання стандартних імен користувачів та паролів.
Обов’язково змінюйте свої облікові дані на складні паролі, які важко вгадати. Також ви можете використовувати генератор випадкових паролів, щоб створити унікальні та надійні паролі.
Іншим кроком, який ви можете зробити, є регулярне оновлення програмного забезпечення вашого пристрою та встановлення патчів безпеки, як тільки вони стають доступними. Компанії-виробники часто випускають патчі безпеки для усунення вразливостей у своїх пристроях.
Тому своєчасне встановлення патчів безпеки може допомогти вам випередити зловмисників. Якщо ваш пристрій IoT має функцію віддаленого доступу, відключіть її, якщо вона вам не потрібна.
Інші заходи, які ви можете вжити, включають регулярний моніторинг вашої мережевої активності та сегментацію домашньої мережі таким чином, щоб пристрої IoT не підключалися до критично важливих мереж вашого дому.
Висновок
Не дивлячись на те, що автори Mirai Botnet були затримані правоохоронцями, ризик зараження ботнетом Mirai все ще існує. Початковий код Mirai Botnet був опублікований, що призвело до появи численних небезпечних варіантів Mirai Botnet, які націлені на пристрої IoT та мають більший контроль над інфікованими пристроями.
Тому, під час придбання пристроїв IoT, одним із головних критеріїв вибору повинні бути функції безпеки, запропоновані виробником. Купуйте пристрої IoT з функціями безпеки, що запобігають зараженню шкідливим ПЗ.
Також, уникайте використання стандартних налаштувань ваших пристроїв та регулярно оновлюйте програмне забезпечення та встановлюйте останні патчі безпеки.
Крім того, рекомендується ознайомитися з можливостями кращих інструментів EDR, що дозволяють швидко виявляти та реагувати на кібератаки.