За първи път открит през 2016 г., ботнетът Mirai превзе безпрецедентен брой устройства и нанесе огромни щети на интернет. Сега се завърна и е по-опасно от всякога.
Съдържание
Новият и подобрен Mirai заразява повече устройства
На 18 март 2019 г. изследователите по сигурността в Пало Алто мрежи разкри, че Mirai е настроен и актуализиран, за да постигне същата цел в по-голям мащаб. Изследователите откриха, че Mirai използва 11 нови експорта (довеждайки общо до 27) и нов списък с идентификационни данни на администратора по подразбиране, който да опита. Някои от промените са насочени към бизнес хардуера, включително телевизорите LG Supersign и безжичните презентационни системи WePresent WiPG-1000.
Mirai може да бъде още по-мощен, ако може да поеме бизнес хардуера и да завладее бизнес мрежите. Като Ручна Нигам, старши изследовател на заплахите в Palo Alto Networks, поставя го:
Тези нови функции предоставят на ботнета голяма повърхност за атака. По-специално, насочването към корпоративни връзки също му предоставя достъп до по-голяма честотна лента, което в крайна сметка води до по-голяма огнева мощ на ботнета за DDoS атаки.
Този вариант на Miria продължава да атакува потребителски рутери, камери и други устройства, свързани с мрежата. За разрушителни цели, колкото повече устройства са заразени, толкова по-добре. Донякъде по ирония на съдбата злонамереният полезен товар беше хостван на уебсайт, популяризиращ бизнес, който се занимава с „Електронна сигурност, интеграция и мониторинг на аларми“.
Mirai е ботнет, който атакува IOT устройства
Ако не си спомняте, през 2016 г. ботнетът Mirai изглеждаше навсякъде. Той беше насочен към рутери, DVR системи, IP камери и други. Те често се наричат устройства за Интернет на нещата (IoT) и включват прости устройства като термостати, които се свързват с интернет. Ботнет мрежите работят, като заразяват групи от компютри и други устройства, свързани с интернет и след това принуждават тези заразени машини да атакуват системи или да работят по други цели по координиран начин.
Mirai преследва устройства с администраторски идентификационни данни по подразбиране, или защото никой не ги промени, или защото производителят ги е кодирал. Ботнетът превзе огромен брой устройства. Дори и повечето от системите да не бяха много мощни, чистите работени числа биха могли да работят заедно, за да постигнат повече, отколкото един мощен зомби компютър би могъл сам.
Mirai пое близо 500 000 устройства. Използвайки този групиран ботнет от IoT устройства, Mirai осакати услуги като Xbox Live и Spotify и уебсайтове като BBC и Github, като се насочи директно към DNS доставчици. С толкова много заразени машини Dyn (доставчик на DNS) беше свален от DDOS атака, която видя 1,1 терабайта трафик. DDOS атака работи, като наводнява цел с огромно количество интернет трафик, повече, отколкото целта може да се справи. Това ще доведе до обхождане на уебсайта или услугата на жертвата или ще го премахне изцяло от интернет.
Първоначалните създатели на софтуера за ботнет Marai са е арестуван, признава се за виновен и му е даден изпитателен срок. За известно време Mirai беше затворена. Но достатъчно от кода оцеля, за да могат други лоши актьори да поемат Mirai и да го променят, за да отговаря на техните нужди. Сега има още един вариант на Mirai.
Как да се предпазите от Mirai
Mirai, подобно на други ботнети, използва известни експлойти, за да атакува устройства и да ги компрометира. Той също така се опитва да използва известни идентификационни данни за вход по подразбиране, за да работи в устройството и да го поеме. Така че вашите три най-добри линии на защита са прави.
Винаги актуализирайте фърмуера (и софтуера) на всичко, което имате в дома или на работното си място, което може да се свърже с интернет. Хакването е игра на котка и мишка и след като изследовател открие нов експлойт, следват пачове, за да коригират проблема. Ботнети като този процъфтяват на устройства без корекции и този вариант на Mirai не е по-различен. Експлойтите, насочени към бизнес хардуера, бяха идентифицирани миналия септември и през 2017 г.
Променете администраторските идентификационни данни на вашите устройства (потребителско име и парола) възможно най-скоро. За рутери можете да направите това в уеб интерфейса на вашия рутер или мобилното приложение (ако има такова). За други устройства, в които влизате с тяхното потребителско име или пароли по подразбиране, вижте ръководството на устройството.
Ако можете да влезете чрез администратор, парола или празно поле, трябва да промените това. Не забравяйте да промените идентификационните данни по подразбиране всеки път, когато настройвате ново устройство. Ако вече сте настроили устройства и сте пропуснали да промените паролата, направете това сега. Този нов вариант на Mirai е насочен към нови комбинации от потребителски имена и пароли по подразбиране.
Ако производителят на вашето устройство е спрял да пуска нови актуализации на фърмуера или е кодирал твърдо администраторските идентификационни данни и не можете да ги промените, помислете за подмяна на устройството.
Най-добрият начин да проверите е да започнете от уебсайта на вашия производител. Намерете страницата за поддръжка за вашето устройство и потърсете всякакви известия относно актуализации на фърмуера. Проверете кога е пуснато последното. Ако са минали години от актуализацията на фърмуера, производителят вероятно вече не поддържа устройството.
Можете също да намерите инструкции за промяна на административните идентификационни данни на уебсайта за поддръжка на производителя на устройството. Ако не можете да намерите скорошни актуализации на фърмуера или метод за промяна на паролата на устройството, вероятно е време да смените устройството. Не искате да оставяте нещо постоянно уязвимо, свързано с вашата мрежа.
Ако най-новият фърмуер, който можете да намерите, е от 2012 г., трябва да смените устройството си.
Подмяната на вашите устройства може да изглежда драстична, но ако са уязвими, това е най-добрият ви вариант. Ботнети като Mirai няма да изчезнат. Трябва да защитите устройствата си. И като защитавате собствените си устройства, вие ще защитите останалата част от интернет.