В общем-то, Mirai особо никуда и не пропадал, ведь в сети есть несколько его вариантов. Однако, специалисты по сетевой безопасности обнаружили интересный вариант Mirai, с обширными возможностями. Его нашли после анализа мощной DDoS-атаки продолжительностью в 54 часа. Судя по всему, сейчас ботнет стал мощнее, чем когда-либо.
Со времени обнаружения первой версии Mirai внимание специалистов по кибербезопасности и киберпреступников было приковано к этой системе. Ее особенность — взлом «умных» устройств, включая камеры, термостаты и прочее с последующим использованием этих девайсов в качестве ботов для осуществления DDoS атак. Первая версия Mirai включала около 400-500 тысяч подключенных устройств. Вскоре после того, как о ботнете стало известно, контроль над ним смогли захватить сторонние взломщики, судя по всему, это два человека.
Ранее сообщалось, в изначальной версии Mirai была обнаружена уязвимость. Ее нашли после того, как исходный код Mirai попал в Сеть. И за контроль над ботнетом развернулась борьба среди разного рода взломщиков. В итоге операторами ботнета стали хакер с ником BestBuy и его напарник Popopret (кстати, есть предположение, что это один и тот же человек, а вовсе не два взломщика). Жертвами DDoS-атак, проведенных этими деятелями, стали специалист по информационной безопасности Брайан Кребс, французский хостинг-провайдер OVN, компания Dyn и ряд других лиц и организаций.
В этом году, около месяца назад BestBuy был арестован в аэропорту Великобритании. Эта операция стала возможной благодаря объединению усилий правоохранительных органов Германии, Кипра, Великобритании, Европола и Евроюста. После ареста BestBuy прекратил всякое общение в сети и предполагаемый напарник Popopret. Причем время последнего выхода одного и второго киберпреступников примерно совпадает. Да и один из аккаунтов BestBuy был взломан, после чего выяснилось, что он вел общение от своего имени и от имени Propopret.
Как бы там ни было, ботнет вовсе не умер, как надеялись правоохранители. В феврале 2017 года (как раз после ареста предполагаемого оператора ботнета) в США была проведена атака на одно из учебных заведений. Как уже говорилось выше, продолжительность атаки составила более 54 часов. Это значительно отличалось от обычного времени работы Mirai, ранее продолжительность атак составляла около 24 часов и не более.
Стоит отметить, что сейчас Mirai состоит из новых устройств, которые были взломаны относительно недавно. Все элементы ботнета проводили атаку на цель с использованием HTTP-флуда. В этой атаке участвовало около 10000 устройств «Интернета вещей», включая камеры, роутеры и прочие девайсы. Их производители пока не исправили уязвимости ПО, выявленные в ходе работы первой версии Mirai, поэтому нет ничего удивительного в том, что работа Mirai снова стала возможной.
Мощность атаки была довольно большой. В секунду цель ботнета получала около 30000 HTTP запросов. Такая мощность поддерживалась в ходе всех 54 часов атаки. Вероятно, в дальнейшем мощность будет только расти, поскольку операторы (кем бы они ни были) нового Mirai совершенствуют и дорабатывают программную основу ботнета.
Последняя его версия включает 30-user agent альтернатив, это шаг вперед по сравнению с 5 у оригинального ботнета. Большее число user agents позволяет Mirai успешно противодействовать большинству мер защиты, предпринимаемыми специалистами по информационной безопасности. Разброс по IP довольно большой. Примерно 18% элементов ботнета расположено в США, 11% в Израиле и 11% в Тайване.
Сейчас остается лишь следить за дальнейшим развитием событий и гадать, какой мощности будет следующая атака. В том, что она будет, можно практически не сомневаться.
Комментарии (7)
opanas
07.04.2017 09:59+1Советы все еще актуальны, хоть статья еще декабрем 2016 датирована:
Для SOC-подразделения. Во всех технологических комплексах контролировать протоколы передачи данных открытым текстом и всплески трафика на портах, а также отслеживать все сканирования портов и подозрения на брутфорс-атаки.
Для телекоммуникационных компаний и интернет-провайдеров. Установите обновления на скомпрометированные устройства, использующиеся в вашей организации; внедрите ACL для удаленного доступа к портам управления оборудованием абонентов (разрешите доступ только с IP-адреса вашего администратора), в то же время проверьте безопасность рабочих станций администратора (когда в последний раз проводили пентест или аудит безопасности? Проведите их внепланово). И еще один совет от капитана очевидность: измените на них пароли!
Для любой организации. Проверьте, есть ли в вашей корпоративной сети какие-либо устройства, зараженные Mirai. Отлично, если есть SIEM-система и настроенные правила для обнаружения подозрительных активностей. Поможети и сканнер безопасности по портам вашей сети на предмет использования порта 7547, чтобы найти устройства, уязвимые для эксплоитов. Еще один способ найти скомпрометированные активы – это использовать Shodan engine.
Осведомленность в вопросах безопасности. Сообщите конечным пользователям об угрозе, так как любой пользователь, разбирающийся в безопасности и технологиях, может повысить защиту своих IoT самостоятельно (обновление прошивки, закрытие портов и сервисов).
ShamanR
07.04.2017 13:38Что у меня не укладывается в голове, так это кол-во юзерагентов. Их же можно генерировать на лету, зачем хардкодить?
chupasaurus
С каких пор 30K RPS стало серьёзной DDoS-атакой?
voidnugget
С тех же, когда 30К RPS стал "высоконагрузом" PHP сайтика на конференциях по типу Highload++.