Wat is de Mirai botnet?
Eind 2016 werd in Frankrijk het telecombedrijf OVH getroffen door een distributed denial-of-service (DDoS) aanval. Experts waren verrast hoe de aanval 100 keer groter was dan vergelijkbare bedreigingen. De maand erop hadden meer dan 175.000 websites te lijden, omdat Dyn, een managed DNS (Domain Name System) provider, getroffen werd door een andere krachtige DDoS-aanval. Veel van de oostelijke Verenigde Staten en een deel van Europa ondervonden een aanzienlijke daling in internetkwaliteit.
Sommige hackgroepen zoals Anonymous en New World Hackers beweerden verantwoordelijk te zijn als vergelding voor het afsluiten van internettoegang van WikiLeaks oprichter Julian Assange door de Ecuadoraanse regering. Echter, Amerikaanse functionarissen en beveiligingsbedrijven betwijfelden deze beweringen. Eén ding was zeker. Het wapen achter deze aanvallen was de Mirai botnet malware.
De timing kon niet slechter zijn. Met de Amerikaanse verkiezingen om de hoek waren er zorgen dat de malware de kiezers zou beïnvloeden. Experts speculeerden dat de schadelijke software het werk was van een malafide staat die erop uit was het democratische proces te manipuleren.
Dat lag ver van de waarheid.
Wie heeft de Mirai botnet gemaakt?
Drie jonge mannen genaamd Paras Jha, Dalton Norman en Josiah White creëerden Mirai als onderdeel van een Minecraft zwendel. Hun oorspronkelijke doel was om een afpersingsschandaal op touw te zetten door Minecraft servers neer te halen en een beschermingsracket te starten. Nadat internetgebruiker “Anna-senpai,” die onderzoekers geloven een alias is voor Paras Jha, de broncode voor Mirai online publiceerde, muteerde de botnet.
Hoe heeft de Mirai botnet zijn naam gekregen?
Mirai is een Japanse voornaam die “toekomst” betekent. Volgens een chatlog tussen Anna-senpai en Robert Coelho, een leidinggevende bij ProxyPipe.com, werd de Mirai botnet vernoemd naar de Japanse animatieserie Mirai Nikki.
Hoe verspreidt Mirai zich?
Laten we enkele prangende vragen beantwoorden zoals “Wat is een DDoS-aanval?”, “Wat is een botnet?”, en
“Wat is IoT?” voordat we uitleggen hoe de Mirai botnet zich verspreidde.
Een botnet is een netwerk van gekaapte computers onder controle van een dreigingsactor, meestal een bot-herder genoemd. Het netwerk van computers, of bots, voert een geautomatiseerd script uit om een taak uit te voeren.
Botnets dienen niet altijd slechte actoren. Bijvoorbeeld, het crowdsourced wetenschappelijk experiment, SETI@home, zocht naar buitenaards leven via een vrijwillig botnet. Echter, bot-herders gebruiken meestal botnets voor aanvallen zoals DDoS. Met behulp van de uitgebreide middelen van de vele computers in een botnet, sturen ze overmatige traffic naar een website of service om het te overweldigen en neer te halen.
Het doel van een DDoS-aanval varieert van kattenkwaad tot activisme of afpersing. Bijvoorbeeld, de Mirai-auteurs wilden kritieke Minecraft-servers ondermijnen om DDoS-mitigatiediensten te verkopen. Ze zouden ook ProxyPipe.com hebben aangevallen omdat het soortgelijke diensten leverde en een potentiële concurrent was.
De Mirai botnet was anders dan andere malware omdat het IoT-apparaten aanviel in plaats van computers. IoT, is natuurlijk een chique naam voor apparaten die sensoren en software bevatten, zodat ze met andere apparaten en systemen kunnen communiceren. Mirai infecteerde kwetsbare consumentendevices zoals slimme camera's. Het geweapenzasede ook Realtek-gebaseerde routers.
Mirai scande het internet op doelwitten en drong hun beveiliging binnen door standaardgebruikersnamen en wachtwoordcombinaties te proberen. Het duurde niet lang voor Mirai om honderden duizenden IoT-apparaten wereldwijd te infecteren en aanzienlijke kracht te vergaren. Mirai’s aanval in 2016 tegen OVH piekte op een verbluffende 1TBps.
Hoe werd de Mirai botnet gestopt?
Volgens TechTarget ontdekte de FBI de identiteit van de Mirai-makers via de metadata rond hun anonieme accounts na een uitgebreid onderzoek. Niet alleen pleitte het trio schuldig aan verschillende computercriminaliteit, maar ze stemden ook in om te helpen herstellen. Een van hun grotere bijdragen was het bouwen van een IoT honeypot genaamd WatchTower. Een honeypot is in wezen een digitale val voor malware en hackers.
Is de Mirai botnet nog steeds actief?
De autoriteiten mogen de Mirai-makers hebben gepakt, maar de geest van hun botnet leeft voort. Talrijke groepen hebben misbruik gemaakt van de open-source code om mini-varianten te creëren. Naast DDoS-aanvallen kunnen botnets hackers helpen om website-beveiliging te verzwakken, creditcardgegevens te stelen en spam te verzenden.
Hoe kan de Mirai malware worden gemitigeerd?
Het updaten van de firmware van je IoT-apparaat naar de nieuwste versie kan helpen de risico's van een botnetinfectie te verminderen. Daarnaast zullen het wijzigen van standaard gebruikersnamen en wachtwoorden voorkomen dat dreigingsactoren bekende standaard inloggegevens gebruiken. Het segmenteren van je netwerk zodat je IoT-apparaten op een apart netwerk staan kan ook nuttig zijn.
Om je computer te beveiligen tegen botnetinfecties, installeer regelmatig de nieuwste beveiligingspatches voor je besturingssysteem en download anti-malware tools. Je loopt ook mogelijk risico door oude verouderde routers — overweeg een upgrade. Een proactieve benadering kan je verdediging verzwaren tegen alle soorten botnetinfecties.