Стратегия, используемая злоумышленниками для расширения масштабов своих кибератак, заключается в использовании ботнетов.
Ботнет - это сеть компьютеров, которые были заражены вредоносным ПО и находятся под удаленным управлением злоумышленника. Такой злоумышленник, контролирующий группу зараженных компьютеров, называется bot herder. Отдельные зараженные устройства называются ботами.
Бот-пастухи управляют группой зараженных компьютеров, что позволяет им проводить кибератаки в гораздо большем масштабе. Ботнеты широко используются при крупномасштабных атаках типа "отказ в обслуживании", фишинговых атаках, рассылке спама и краже данных.
Примером такого вредоносного ПО является Mirai Botnet. Mirai - это вредоносная программа ботнета, которая нацелена на устройства Интернета вещей (IoT) под управлением Linux и использует уязвимости в них.
После заражения Mirai захватывает устройство интернета вещей, превращая его в удаленно управляемого бота, который может использоваться как часть ботнета для запуска массовых кибератак. Mirai был написан с использованием C и GO.
Вредоносная программа получила известность в 2016 году, когда была использована в распределенной атаке типа "отказ в обслуживании" (DDOS) на DYN, поставщика системы доменных имен. Атака не позволила пользователям Интернета получить доступ к таким сайтам, как Twitter, Paypal и Visa, среди прочих.
Вредоносная программа Mirai также была ответственна за DDOS-атаки на сайт кибербезопасности Krebs on Security и французскую компанию по облачным вычислениям OVHcloud.
Как был создан Mirai
Вредоносная программа Mirai была написана Парасом Джа и Джосайей Уайтом, которые в то время были студентами в возрасте 20 лет, а также основателями ProTraf Solutions, компании, предлагавшей услуги по предотвращению DDOS-атак. Вредоносная программа Mirai была написана с использованием языков программирования C и Go.
Изначально целью Mirai было вывести из строя конкурирующие серверы Minecraft с помощью DDOS-атак.
Затем с помощью Mirai они перешли к вымогательству и рэкету. Дуэт запускал DDOS-атаки на компании, затем связывался с компаниями, на которые они напали, чтобы предложить меры по смягчению последствий DDOS.
Ботнет Mirai привлек внимание властей и сообщества кибербезопасности после того, как он был использован для отключения веб-сайта Krebs on Security и его атаки на OVH. Когда ботнет Mirai начал попадать в заголовки газет, создатели опубликовали исходный код ботнета Mirai на общедоступном хакерском форуме.
Вероятно, это была попытка замести следы и избежать ответственности за DDOS-атаки, совершенные с использованием ботнета Mirai. Исходный код ботнета Mirai был взят другими киберпреступниками, и это привело к созданию вариантов ботнета Mirai, таких как Okiru, Masuta и Satori, а также PureMasuta.
Как работает ботнет Mirai
Атака ботнета Mirai включает в себя следующие шаги:
- Ботнет Mirai сначала сканирует IP-адреса в Интернете, чтобы идентифицировать устройства IoT, работающие под управлением Linux на процессоре Arc. Затем он идентифицирует и нацеливает устройства, которые не защищены паролем или используют учетные данные по умолчанию.
- Как только он определит уязвимые устройства, Mirai использует различные известные учетные данные по умолчанию, чтобы попытаться получить сетевой доступ к устройству. Если устройство использует настройки по умолчанию или не защищено паролем, Mirai входит в систему устройства и заражает его.
- Затем ботнет Mirai сканирует устройство, чтобы определить, не было ли оно заражено другим вредоносным ПО. В случае, если это так, он удаляет все остальные вредоносные программы, так что это единственная вредоносная программа на устройстве, предоставляя ей больший контроль над устройством.
- Затем зараженное Mirai устройство становится частью ботнета Mirai, и им можно удаленно управлять с центрального сервера. Такое устройство просто ожидает команд от центрального сервера.
- Затем зараженные устройства используются для заражения других устройств или используются как часть ботнета для проведения крупномасштабных DDOS-атак на веб-сайты, серверы, сети или другие ресурсы, доступные в Интернете.
Стоит отметить, что ботнет Mirai поставляется с диапазонами IP, на которые он не нацеливался и не заражал. Сюда входят частные сети и IP-адреса.
Типы устройств, на которые нацелен ботнет Mirai
Основной целью ботнета Mirai являются устройства Интернета вещей, использующие процессоры ARC. По словам Параса Джа, одного из авторов Mirai bot, большинство устройств Интернета Вещей, зараженных и используемых ботнетом Mirai, были маршрутизаторами.
Однако список потенциальных жертв ботнета Mirai включает другие устройства Интернета вещей, использующие процессоры ARC.
Это могут быть устройства для умного дома, такие как камеры видеонаблюдения, радионяни, термостаты и смарт-телевизоры, носимые устройства, такие как фитнес-трекеры и часы, и медицинские устройства интернета вещей, такие как мониторы уровня глюкозы и инсулиновые помпы. Промышленные устройства интернета вещей и медицинские устройства интернета вещей, использующие процессоры ARC, также могут стать жертвами ботнета Mirai.
Как обнаружить заражение ботнетом Mirai
Ботнет Mirai разработан таким образом, чтобы его атака была скрытной, и, таким образом, обнаружить, что ваше IoT-устройство заражено ботнетом Mirai, непростая задача. Однако их нелегко обнаружить. Однако обратите внимание на следующие индикаторы, которые могут сигнализировать о возможном заражении ботнетом Mirai вашего устройства Интернета вещей:
- Замедленное подключение к Интернету – Ботнет Mirai может привести к замедлению работы вашего Интернета вещей, поскольку ваши устройства интернета вещей используются для запуска DDOS-атак.
- Необычный сетевой трафик – Если вы регулярно отслеживаете свою сетевую активность, вы можете заметить внезапное увеличение сетевого трафика или отправку запросов на незнакомые IP-адреса
- Снижение производительности устройства – Ваше устройство Интернета вещей работает неоптимально или демонстрирует необычное поведение, такое как выключение или самостоятельный перезапуск, может быть индикатором возможного заражения Mirai.
- Изменения в конфигурациях устройств – Ботнет Mirai может вносить изменения в настройки ваших устройств Интернета вещей или конфигурации по умолчанию, чтобы упростить эксплуатацию устройств и контроль над ними в будущем. Если вы заметили изменения в конфигурации ваших устройств интернета вещей, и вы не несете за них ответственности, это может указывать на возможное заражение ботнетом Mirai.
Как защитить ваши устройства от заражения ботнетом Mirai
Ключевой стратегией Mirai Botnet при заражении устройств Интернета вещей является тестирование набора хорошо известных конфигураций по умолчанию, чтобы увидеть, по-прежнему ли пользователи используют конфигурации по умолчанию.
В этом случае Mirai входит в систему и заражает устройства. Таким образом, важным шагом в защите ваших устройств Интернета Вещей от ботнета Mirai является отказ от использования имен пользователей и паролей по умолчанию.
Обязательно измените свои учетные данные и используйте пароли, которые нелегко угадать. Вы даже можете использовать генератор случайных паролей, чтобы получить уникальные пароли, которые невозможно угадать.
Другой шаг, который вы можете предпринять, - это регулярное обновление прошивки вашего устройства, а также установка исправлений безопасности всякий раз, когда они выпускаются. Компании часто выпускают исправления безопасности на случай обнаружения уязвимостей в их устройствах.
Поэтому установка исправлений безопасности всякий раз, когда они выпускаются, может помочь вам опережать злоумышленников. Если ваше устройство интернета вещей имеет удаленный доступ, рассмотрите возможность отключения и его, на случай, если вам не нужна эта функциональность.
Другие меры, которые вы можете предпринять, включают регулярный мониторинг вашей сетевой активности и сегментирование вашей домашней сети таким образом, чтобы устройства интернета вещей не были подключены к критически важным сетям дома.
Заключение
Хотя создатели ботнета Mirai были задержаны властями, риск заражения ботнетом Mirai все еще сохраняется. Исходный код ботнета Mirai был обнародован, и это привело к созданию смертоносных вариантов ботнета Mirai, которые нацелены на устройства Интернета вещей и имеют больший контроль над устройствами.
Поэтому при покупке устройств Интернета вещей ключевым фактором должны быть функции безопасности, предлагаемые производителем устройства. Покупайте устройства Интернета вещей с функциями безопасности, предотвращающими возможное заражение вредоносными программами.
Кроме того, избегайте использования конфигураций по умолчанию на своих устройствах и регулярно обновляйте прошивку вашего устройства и устанавливайте все последние исправления безопасности всякий раз, когда они выпускаются.
