Czym jest botnet Mirai?
Pod koniec 2016 r. we Francji firma telekomunikacyjna OVH została zaatakowana przez rozproszony atak typu "odmowa usługi" (DDoS). Eksperci byli zaskoczeni faktem, że atak był 100 razy większy niż podobne zagrożenia. W następnym miesiącu ucierpiało ponad 175 000 stron internetowych, ponieważ Dyn, zarządzany dostawca DNS (Domain Name System), został dotknięty kolejnym potężnym atakiem DDoS. Znaczna część wschodnich Stanów Zjednoczonych i część Europy doświadczyła znacznego spadku jakości Internetu.
Niektóre grupy hakerskie jak Anonymous i New World Hackers przyznały się do odpowiedzialności, twierdząc, że atak to odwet za odcięcie założyciela WikiLeaks, Juliana Assange’a, od Internetu przez rząd Ekwadoru. Jednak amerykańscy urzędnicy i firmy ochroniarskie powątpiewali w te twierdzenia. Jedno było pewne. Bronią za tymi atakami było złośliwe oprogramowanie Mirai botnet.
Czas nie mógł być gorszy. W obliczu zbliżających się amerykańskich wyborów istniały obawy, że złośliwe oprogramowanie wpłynie na wyborców. Eksperci spekulowali, że złośliwe oprogramowanie było dziełem nieuczciwego państwa, które chciało manipulować procesem demokratycznym.
Nie mogli być bardziej dalecy od prawdy.
Kto stworzył botnet Mirai?
Trzech młodych mężczyzn o imionach Paras Jha, Dalton Norman i Josiah White stworzyło Mirai jako część oszustwa związanego z Minecraft. Ich początkowym celem było prowadzenie schematu wymuszeń poprzez wyłączanie serwerów Minecraft i rozpoczęcie działalności ochroniarskiej. Po tym, jak użytkownik Internetu 'Anna-senpai', którego śledczy uważają za pseudonim Parasa Jha, opublikował kod źródłowy Mirai w sieci, botnet uległ mutacji.
Skąd botnet Mirai wziął swoją nazwę?
Mirai to japońskie imię, które oznacza "przyszłość". Zgodnie z czatem między Anna-senpai i Robertem Coelho, dyrektorem ProxyPipe.com, botnet Mirai został nazwany na cześć japońskiego serialu animowanego Mirai Nikki.
Jak rozprzestrzenia się Mirai?
Odpowiedzmy na kilka palących pytań, takich jak "Co to jest atak DDoS?", "Co to jest botnet?" i
"Co to jest IoT?", zanim wyjaśnimy, w jaki sposób rozprzestrzenił się botnet Mirai.
Botnet to sieć przejętych komputerów znajdujących się pod kontrolą podmiotu stanowiącego zagrożenie, zwykle nazywanego herderem botów. Sieć komputerów lub botów uruchamia zautomatyzowany skrypt w celu wykonania zadania.
Botnety nie zawsze służą złym aktorom. Przykładowo, eksperyment naukowy SETI@home polegający na crowdsourcingu poszukiwał życia pozaziemskiego za pośrednictwem dobrowolnego botnetu. Hakerzy botów zazwyczaj wykorzystują jednak botnety do ataków takich jak DDoS. Korzystając z rozległych zasobów wielu komputerów w botnecie, wysyłają nadmierny ruch do strony internetowej lub usługi, aby ją przeciążyć i wyłączyć.
Cel ataku DDoS może być różnorodny – od psot, przez aktywizm, po wymuszenia. Przykładowo, autorzy Mirai chcieli podważyć działanie krytycznych serwerów Minecraft, aby sprzedawać usługi łagodzenia skutków DDoS.
Botnet Mirai różnił się od innych złośliwych programów, ponieważ atakował urządzenia IoT zamiast komputerów. IoT to oczywiście fantazyjna nazwa urządzeń wyposażonych w czujniki i oprogramowanie, które umożliwiają im komunikację z innymi urządzeniami i systemami. Mirai infekował podatne na ataki urządzenia konsumenckie, takie jak inteligentne kamery. Bronił również routerów opartych na technologii Realtek.
Mirai skanował Internet w poszukiwaniu celów i przełamywał ich zabezpieczenia, próbując domyślne kombinacje nazw użytkowników i haseł. Niewiele czasu zajęło mu zainfekowanie setek tysięcy urządzeń IoT w krajach na całym świecie i zdobycie znaczącej mocy. Atak Mirai na OVH w 2016 roku osiągnął szczyt 1Tb/s.
Jak powstrzymano botnet Mirai?
Według TechTarget, FBI odkryło tożsamość twórców Mirai dzięki metadanym wokół ich anonimowych kont po szeroko zakrojonym dochodzeniu. Trio nie tylko przyznało się do winy za różne przestępstwa komputerowe, ale także zgodziło się pomóc w naprawieniu szkód. Jednym z ich większych wkładów było zbudowanie honeypota IoT o nazwie WatchTower. Honeypot to zasadniczo cyfrowa pułapka na złośliwe oprogramowanie i hakerów.
Czy botnet Mirai jest nadal aktywny?
Władze mogły złapać twórców Mirai, ale duch ich botnetu żyje dalej. Liczne grupy skorzystały z otwartego kodu źródłowego, aby stworzyć mini warianty. Oprócz ataków DDoS, botnety mogą pomagać hakerom w osłabianiu bezpieczeństwa stron internetowych, kradzieży danych kart kredytowych i wysyłaniu spamu.
Jak złośliwe oprogramowanie Mirai może zostać złagodzone?
Aktualizowanie oprogramowania urządzeń IoT do najnowszych wersji może pomóc zminimalizować ryzyko infekcji botnetem. Ponadto zmiana domyślnych nazw użytkowników i haseł uniemożliwi aktorom zagrożeń wykorzystanie znanych domyślnych danych logowania. Segmentowanie sieci, aby urządzenia IoT znajdowały się w osobnej sieci, również może być przydatne.
Aby zabezpieczyć komputer przed infekcjami botnetowymi, należy regularnie instalować najnowsze poprawki zabezpieczeń dla systemu operacyjnego i pobierać narzędzia chroniące przed złośliwym oprogramowaniem. Zagrożeniem mogą być również przestarzałe routery - warto więc rozważyć ich aktualizację. Proaktywne podejście może wzmocnić ochronę przed wszystkimi rodzajami infekcji botnetowych.