Mirai (ботнет)
Mirai — хробак та ботнет утворений зламаними (скомпрометованими) пристроями типу «інтернет речей» (відеопрогравачі, «розумні» веб-камери, тощо).
Тип | хробак, ботнет |
---|---|
Автор(и) | "Anna-senpai" (інтернет псевдонім) |
Перший випуск | жовтень 2016 року |
Репозиторій | github.com/jgamblin/Mirai-Source-Code |
Платформа | BusyBox |
Операційна система | на основі Linux |
Мова програмування | C[1] і Go[1] |
Доступні мови | C (хробак) та Go (сервер управління) |
Стан розробки | в активному застосуванні |
Ліцензія | GPL-v.3 |
Вебсайт | github.com/jgamblin/Mirai-Source-Code |
Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього шкіливе ПЗ мало відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебору[2]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай[3].
Історія
Огляд
Mirai не є першим хробаком та ботнетом для пристроїв типу «інтернет речей». Так, наприклад, в 2012 році був виявлений хробак Aidra, який спромігся вразити близько 30 тисячі пристроїв та був створений для організації розподілених атак на відмову в обслуговуванні (DDoS-атаки)[4]. В 2013 році вихідні коди хробака Aidra (LightAidra) були оприлюднені у вільному доступі[5].
Наприкінці листопада 2016 року пара хакерів стали пропонувати «поліпшений» та «розвинутіший» ботнет на основі Mirai в оренду за гроші. Згідно їх рекламі, вони додали можливість розповсюдження хробака через протокол SSH завдяки чому вдалось захопити близько 400 тисяч пристроїв[6]. Серед всього іншого, новоявлений хробак атакував системи, вражені хробаком Qbot та латав їх аби убезпечити від нього[7].
Атака проти Брайана Кребса
У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, вебсайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку сягнув 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (що є підмножиною інтернету речей). У жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками[8][9].
Дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак[3].
Атака проти Dyn DNS
В п'ятницю, 21 жовтня 2016 року сталась потужна розподілена атака на відмову в обслуговуванні проти Dyn DNS, оператора DNS в США. Атака відбувалась у дві хвилі, перша тривала з 11:10 UTC до 13:20 UTC, і друга в проміжку між 15:50 UTC та 17:00 UTC. Попри те, що інженерам вдалось оперативно вжити засобів для відбиття атаки, вона все ж таки позначилась на інтернет-користувачах. Наслідки атаки можна було помітити аж до приблизно 20:30 UTC того ж дня[10].
Обидві хвилі атакували сервери компанії, які знаходились в різних регіонах світу (від Азії й до Сполучених Штатів)[10].
Атака була підсилена спровокованим нею потоком повторних запитів (англ. DNS retry) від мільйонів різних комп'ютерів з усього світу. Спровоковані запити через IP та UDP на порт 53 перевищували нормальний трафік у 40-50 крат (без врахування тих запитів, які не змогли дістатись серверів компанії внаслідок вжитих захисних заходів та перевантаження каналів зв'язку)[10]. Внаслідок атаки виникли проблеми із доступом до багатьох вебсайтів, зокрема: Twitter, Etsy, Github, Soundcloud, Spotify, Heroku, та інші[11].
Проведене компанією розслідування показало, що кістяк атаки спирався на близько 100 тисяч пристроїв типу «інтернет речей» керованих варіантом шкідливого ПЗ Mirai[10].
Решта
На початку листопада 2016 року створений на основі Mirai ботнет (так званий Botnet 14) розпочав DDoS-атаку проти Ліберії. Країна отримала доступ до Інтернет завдяки єдиному оптоволоконному каналу ACE, прокладеному в 2011 році. Даний канал надає зв'язок для всього західного узбережжя Африки та має пропускну здатність до 5.1 ТБ/c. Нападникам вдалось тимчасово розірвати доступ цілої країни до Інтернету[12] .
В жовтні 2017 року інженери компанії Check Point оприлюднили доповідь про виявленого ними хробака, що атакує пристрої класу «інтернет речей» та утворює на їх основі ботнет. Новий хробак отримав назву IoTroop або Reaper. На відміну від Mirai, новий хробак покладається на щонайменше 9 відомих вразливостей у пристроях різних виробників. За оцінкою дослідників, новий хробак вразив пристрої у понад 1 млн організацій по всьому світу[13][14][15].
Примітки
- https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
- Steve Ragan (3 жовтня 2016). Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online. Архів оригіналу за 7 жовтня 2016. Процитовано 28 жовтня 2016.
- Zach Wikholm (7 жовтня 2016). When Vulnerabilities Travel Downstream. Flashpoint. Архів оригіналу за 7 листопада 2016. Процитовано 28 жовтня 2016.
- Dan Goodin (20 березня 2013). Guerilla researcher created epic botnet to scan billions of IP addresses. Risk Assessment. Ars Technica.
- Muhammad Junaid Bohio (19 march 2015). Analyzing a Backdoor/Bot for the MIPS Platform. SANS Institute.
див. https://github.com/eurialo/lightaidra - Catalin Cimpanu (24 листопада 2016). You Can Now Rent a Mirai Botnet of 400,000 Bots. Bleeping Computer.
- Brian Krebs (18 Jan 2017). Who is Anna-Senpai, the Mirai Worm Author?. Krebs on Security.
- Catalin Cimpanu (23 вересня 2016). Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia. Архів оригіналу за 14 жовтня 2016. Процитовано 28 жовтня 2016.
- Catalin Cimpanu (5 жовтня 2016). Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia. Архів оригіналу за 6 жовтня 2016. Процитовано 28 жовтня 2016.
- Scott Hilton (26 жовтня 2016). Dyn Analysis Summary Of Friday October 21 Attack. Архів оригіналу за жовтень 29, 2016. Процитовано жовтень 28, 2016.
- Brad Chacos (21 жовтня 2016). Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline. PC World.
- Zack Whittaker for Zero Day (November 3, 2016). Mirai botnet attackers are trying to knock an entire country offline. ZDNet. «The nation state has a single point of failure fiber, recently installed in 2011, and it could spell disaster for dozens of other countries.»
- A New IoT Botnet Storm is Coming. Check Point. 19 жовтня 2017.
- Brian Krebs (23 OCT 2017). Reaper: Calm Before the IoT Security Storm?. Krebs on Security.
- Мир на пороге кибер-Армагеддона, 26.10.2017
Див. також
Посилання
- Вихідний текст хробака Mirai
- Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks
- Watcher, Хакери використали регулятори тепла, холодильники і тостери для однієї з найбільших DDoS-атак
- Brian Krebs, Who is Anna-Senpai, the Mirai Worm Author?