Wat was de Mirai botnet?

Wat is een Mirai botnet aanval? Is Mirai nog steeds een bedreiging? Leer meer over dit type malware en zijn impact als cyberbedreiging.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATIS

Ook voor Windows, iOS, Android, Chromebook en Voor Bedrijven

Wat is de Mirai botnet?

Eind 2016 werd telecombedrijf OVH in Frankrijk getroffen door eenDDoS-aanval(Distributed Denial-of-Service). Experts waren verbaasd over het feit dat de aanval 100 keer groter was dan vergelijkbare bedreigingen. De volgende maand werden meer dan 175.000 websites getroffen toen Dyn, een beheerde DNS (Domain Name System)-provider, werd getroffen door een andere krachtige DDoS-aanval. Een groot deel van het oosten van de Verenigde Staten en een deel van Europa kreeg te maken met een aanzienlijke daling van de internetkwaliteit.

Sommige hackersgroepen zoals Anonymous en New World Hackers eisten de verantwoordelijkheid op als vergelding voor het feit dat WikiLeaks-oprichter Julian Assange van het internet werd afgesloten door de Ecuadoriaanse regering. Amerikaanse functionarissen en beveiligingsbedrijven trokken deze beweringen echter in twijfel. Eén ding was zeker. Het wapen achter deze aanvallen was de Mirai botnet malware.

De timing had niet slechter kunnen zijn. Met de Amerikaanse verkiezingen voor de deur was men bang dat de malware invloed zou hebben op de kiezers. Experts speculeerden dat de kwaadaardige software het handwerk was van een schurkenstaat die het democratische proces wilde manipuleren.

Dat lag ver van de waarheid.

Wie heeft de Mirai botnet gemaakt?

Drie jonge mannen genaamd Paras Jha, Dalton Norman en Josiah White creëerden Mirai als onderdeel van een Minecraft zwendel. Hun oorspronkelijke doel was om een afpersingsschandaal op touw te zetten door Minecraft servers neer te halen en een beschermingsracket te starten. Nadat internetgebruiker “Anna-senpai,” die onderzoekers geloven een alias is voor Paras Jha, de broncode voor Mirai online publiceerde, muteerde de botnet.

Hoe heeft de Mirai botnet zijn naam gekregen?

Mirai is een Japanse voornaam die “toekomst” betekent. Volgens een chatlog tussen Anna-senpai en Robert Coelho, een leidinggevende bij ProxyPipe.com, werd de Mirai botnet vernoemd naar de Japanse animatieserie Mirai Nikki.

Hoe verspreidt Mirai zich?

Laten we enkele prangende vragen beantwoorden zoals “Wat is een DDoS-aanval?”, “Wat is een botnet?”, en
Wat is IoT?” voordat we uitleggen hoe de Mirai botnet zich verspreidde.

Een botnet is een netwerk van gekaapte computers onder controle van een bedreigende actor, meestal een botherder genoemd. Het netwerk van computers, of bots, voert een geautomatiseerd script uit om een taak uit te voeren.

Botnets dienen niet altijd slechte actoren. Bijvoorbeeld, het crowdsourced wetenschappelijk experiment, SETI@home, zocht naar buitenaards leven via een vrijwillig botnet. Echter, bot-herders gebruiken meestal botnets voor aanvallen zoals DDoS. Met behulp van de uitgebreide middelen van de vele computers in een botnet, sturen ze overmatige traffic naar een website of service om het te overweldigen en neer te halen.

Het doel van een DDoS-aanval varieert van kattenkwaad tot activisme of afpersing. Bijvoorbeeld, de Mirai-auteurs wilden kritieke Minecraft-servers ondermijnen om DDoS-mitigatiediensten te verkopen. Ze zouden ook ProxyPipe.com hebben aangevallen omdat het soortgelijke diensten leverde en een potentiële concurrent was.

Het Mirai-botnet was anders dan andere malware omdat het IoT-apparaten aanviel in plaats van computers. IoT is natuurlijk een mooie naam voor apparaten met sensoren en software, waardoor ze kunnen communiceren met andere apparaten en systemen. Mirai infecteerde kwetsbare consumentenapparaten zoals slimme camera's. Het maakte ook wapens van Realtek-gebaseerde routers.

Mirai scande het internet op doelwitten en drong hun beveiliging binnen door standaardgebruikersnamen en wachtwoordcombinaties te proberen. Het duurde niet lang voor Mirai om honderden duizenden IoT-apparaten wereldwijd te infecteren en aanzienlijke kracht te vergaren. Mirai’s aanval in 2016 tegen OVH piekte op een verbluffende 1TBps.

Hoe werd de Mirai botnet gestopt?

Volgens TechTarget ontdekte de FBI de identiteit van de Mirai-makers via de metadata rond hun anonieme accounts na een uitgebreid onderzoek. Niet alleen pleitte het trio schuldig aan verschillende computercriminaliteit, maar ze stemden ook in om te helpen herstellen. Een van hun grotere bijdragen was het bouwen van een IoT honeypot genaamd WatchTower. Een honeypot is in wezen een digitale val voor malware en hackers.

Is de Mirai botnet nog steeds actief?

De autoriteiten hebben de makers van Mirai dan wel gepakt, maar de geest van hun botnet leeft voort. Talloze groepen maakten gebruik van de open-source code om minivarianten te maken. Naast DDoS-aanvallen kunnen botnets hackers helpen om de beveiliging van websites te verzwakken, creditcardgegevens te stelen en spam te versturen.  

Hoe kan de Mirai malware worden gemitigeerd?

Het bijwerken van de firmware uw IoT-apparaat naar de nieuwste versie kan het risico van een botnetinfectie verkleinen. Daarnaast kan het wijzigen van de standaard gebruikersnaam en wachtwoorden voorkomen dat dreigingsactoren bekende standaard aanmeldgegevens gebruiken. Het kan ook nuttig zijn om uw netwerk te segmenteren zodat uw IoT-apparaten zich op een apart netwerk bevinden.

Om je computer te beveiligen tegen botnetinfecties, installeer regelmatig de nieuwste beveiligingspatches voor je besturingssysteem en download anti-malware tools. Je loopt ook mogelijk risico door oude verouderde routers — overweeg een upgrade. Een proactieve benadering kan je verdediging verzwaren tegen alle soorten botnetinfecties.