Mirai to złośliwe oprogramowanie, które funkcjonuje od 2016 roku. Jego specjalnością jest infekowanie inteligentnych urządzeń, działających na procesorach ARC. Malware ten zmienia je w sieć zdalnie sterowanych botów lub zombie, którą następnie może wykorzystać do uruchamiania ataków DDoS. Według najnowszych doniesień, aktywność Mirai podwoiła się między pierwszym kwartałem 2018 a pierwszym kwartałem obecnego roku. Oznacza to, że zagrożenie rozwija się, zmieniając dotychczasową taktykę, techniki i procedury. Jak badacze przewidują, w polu zainteresowań atakujących znajdą się organizacje o szerokiej skali działania. Ze względu na popularność migracji do chmury i narastające trendów IoT, przebudzenie Mirai ma szczególne znaczenie.

Botnet to sieć komputerów zainfekowanych złośliwym oprogramowaniem, na przykład w skutek ataku DDoS

Jak działa Mirai?

Mirai to samonapędzający się wirus botnetowy. Kod źródłowy Mirai został udostępniony publicznie przez autora po udanym i nagłośnionym ataku na stronie internetowej Krebbs. Od tego czasu wielu innych hakerów próbowało korzystać z niego do przeprowadzenia ataków na infrastrukturę internetową. Ze względu na innowacyjny przebieg działania, wiadomość o aktywności tego malware obiegła Internet. Uważa się, że jest przyczyną masowego ataku, który w październiku 2016 r. doprowadził do upadku dostawcy usług rejestracji domen – Dyn.

Mirai skanuje Internet w poszukiwaniu urządzeń IoT działających na procesorze ARC, który wykorzystuje uproszczoną wersję systemu operacyjnego Linux. Jeśli domyślna kombinacja nazwy użytkownika i hasła nie zostanie zmieniona, Mirai może zalogować się do urządzenia i zainfekować. To znany scenariusz, który pojawia się w wielu organizacjach o wysokim (zdawałoby się) poziomie bezpieczeństwa. Podobnie do routerów przemysłowych na których działają standardowe poświadczenia – pisaliśmy o tym omawiając bezpieczeństwo robotów przemysłowych. Mirai infekuje słabo chronione urządzenia internetowe (m.in. routery, urządzenia do monitorowania środowiska, rejestratory cyfrowe itp.) za pomocą telnetu. Czyli za pomocą standardowego protokołu komunikacyjnego do zdalnej obsługi urządzeń.

Skuteczność Mirai wynika z jego zdolności do infekowania dziesiątek tysięcy tych niezabezpieczonych urządzeń i koordynowania ich w celu zamontowania ataku DDOS na wybraną ofiarę. Z tego względu, schemat działania i pozyskiwania odbywa się w sposób ciągły. Mirai próbuje dostać się via telnet (na porcie TCP 23 lub 2323), do losowych adresów IP. Gdy logowanie się powiedzie, tożsamość nowego bota i jego poświadczenia są przesyłane z powrotem do serwera C&C. Obsługuje on prosty interfejs wiersza poleceń, pozwalający atakującemu określić adres IP ofiary i czas trwania ataku top4games.net.

Co więcej, C&C czeka również na swoje istniejące boty, aby zwrócić nowo odkryte adresy urządzeń i poświadczenia. Podczas gdy tworzy nowe boty, wykorzystuje je do kopiowania kodu wirusa. Schemat działania malware’u i pozyskiwania nowych ogniw botnetu prezentuje poniższy obrazek.

Schemat działania Mirai według Corero, producenta rozwiązań m.in. anty DDoS

Ewolucja i znane warianty Mirai

Podobnie jak większość wirusów, Mirai także się mutuje. Według IBM X-Force, malware składa się obecnie z kilku różnych powiązanych botnetów, które czasami konkurują ze sobą. Atak na wspomniany Dyn wpłynął na olbrzymie obszary Internetu, w tym również na portale jak Twitter, Spotify i GitHub. Chociaż twórcy Mirai zostali ujęci, ich kod źródłowy żyje. Badacze szacują, że botnet rozprzestrzenił się w co najmniej 63 warianty m.in. Okiru, Satori, Masuta i PureMasuta. Na przykład PureMasuta jest w stanie wykorzystać i „udoskonalić” podatność HNAP w urządzeniach D-Link. Z drugiej strony, OMG przekształca urządzenia IoT w proxy, które pozwalają cyberprzestępcom pozostać anonimowymi. Istnieje również niedawno odkryty – i potężny – botnet, nazywany IoTrooper lub Reaper. Jest on w stanie skompromitować urządzenia IoT w znacznie szybszym tempie niż Mirai. Prawdopodobnie jest też w stanie dotrzeć do większej liczby producentów urządzeń i ma znacznie większą kontrolę nad swoimi botami.

„Szkodliwe oprogramowanie Mirai i jego warianty ewoluują wraz z intencjami operatora, dostarczając różnorodnych exploitów i coraz bardziej ukierunkowanych na środowiska korporacyjne. W miarę jak urządzenia IoT stają się coraz bardziej powszechne wśród gospodarstw domowych i dużych organizacji, Mirai i jego warianty będą ewoluować, aby dostosować się do zmieniających się środowisk i wybranych celów”.

– zespół IBM X-Force

Szczególne zagrożenia związane z aktywnością rodziny Mirai

Wspomniane dostosowanie zakłada precyzyjny dobór metod, technik i sprzętu pod kątem ofiary. W marcu bieżącego roku odkryto nowe próbki Mirai przeznaczone dla korporacyjnych urządzeń IoT. Ich zadaniem było kopanie kryptowalut i szukanie nowych typów backdoorów w oparciu o przejęte urządzenia. Godnym uwagi jest fakt, że zmiana urządzenia w koparkę kryptowalut może być bardzo niebezpieczna. Wirus będzie wykorzystywał moc obliczeniową zainfekowanych urządzeń IoT kosztem ich parametrów i wydajności. W porównaniu do rzeczywistej jednostki centralnej i procesora graficznego mają one niewielkie możliwości obliczeniowe, zatem taki atak je po prostu fizycznie uszkodzi.

Atakujący skorzystali też z kodu PHP shell a o nazwie C99, podatnego na ominięcie uwierzytelnienia i umożliwienie przejęcia kontroli. Co dziwne, nie wykorzystali do tego znanego reverse shell czyli najprostszego sposobu na dostęp do wewnętrznych systemów bez dostępu do sieci. W ten sposób wykazano nowy poziom zaawansowania znanego backdoora. „Ekspansja rodziny ładunków Mirai poza reverse shell jest niepokojąca, ponieważ pozwala aktorom zagrożeń szybko pobrać dowolną liczbę szkodliwych plików na dużą liczbę urządzeń IoT” – zauważyli badacze. Co więcej odkryto, że ponad 80 procent wszystkich obserwowanych aktywności botnetów w tym roku dotyczyło mediów / usług informacyjnych i branży ubezpieczeniowej.

Urządznia IoT wchodzą skład rozwiązań inteligetnej automatyki budynkowej. Takie instalacje tworzone są na coraz większej liczbie budynków użyteczności publicznej.

To jednak nie wszystko. W dużej mierze zagrożenie koncentruje się na przedsiębiorstwach, ponieważ urządzenia IoT połączone w chmurze mogą pozwolić Mirai na uzyskanie dostępu do serwerów. Jest możliwość, że główny serwer zostanie zainfekowany dodatkowym, złośliwym oprogramowaniem aby odgórnie narazić wszystkie urządzenia IoT podłączone do niego na dalsze problemy. Ponieważ architektura chmury jest wzrastającym trendem, coraz więcej organizacji będzie z niej korzystać. Konsekwencje zetknięcia z którymś z wariantów Mirai mogą być wówczas katastrofalne.

Wzrost aktywności = wzrost zaangażowania twórców

Ostatnie badania i analizy wykazały, że aktywność Mirai niemal podwoiła się między pierwszym kwartałem 2018 r. a pierwszym kwartałem 2019 r. „W porównaniu z innymi botnetami, które są ukierunkowane na urządzenia IoT, Mirai i jego warianty to zdecydowanie najpopularniejsze, szkodliwe oprogramowanie, jakie trafiło do sieci korporacyjnych w 2019 r.” – wynika z analizy. „W rzeczywistości warianty Mirai obserwowano ponad dwukrotnie częściej niż kolejny najpopularniejszy botnet podobny do Mirai, Gafgyt. Rozpowszechnienie Mirai podkreśla narastające zagrożenie również w kontekście wykorzystywania jego możliwości. ”

Urządzenia IoT stanowią interesującą powierzchnię ataku dla cyberprzestępców, tworzących sieci botnet. Zgodnie z danymi Business Insider Intelligence światowa baza urządzeń Internet of Things ma osiągnąć ponad 31 miliardów urządzeń do 2020 roku. Wiele z nich prawdopodobnie pozostanie z domyślnymi hasłami. Część zostanie tylko zainstalowana i nigdy nie otrzyma aktualizacji. „Wiele instalacji IoT traktuje się jako fire-and-forget: Po wstępnym skonfigurowaniu, urządzenia nie podlegają monitorowaniu ani sprawdzaniu pod kątem nietypowych zachowań. Oznacza to, że zainfekowane urządzenie może działać przez znaczny okres czasu, zanim zdołamy pomóc”. Tak sprawę przedstawiają eksperci z IBM. A z pewnością taki scenariusz jest prostą drogą do poważnych problemów.

Podsumowując – zarówno urządzenia IoT wykorzystywane prywatnie jak i korporacyjnie mogą paść ofiarą ataku. Pamiętajmy, że źródłem infekcji nie musi być Mirai ale jeden z jego wariantów, wyspecjalizowany pod kątem danych działań. Informacja o tym zagrożeniu powinna dotrzeć także do środowisk przemysłowych. Industrial Internet of Things już znajduje zastosowanie w wielu obszarach, lecz cechują go niestety te same podatności co zwykły IoT. Więcej o jego bezpieczeństwie możecie przeczytać tutaj.

Źródła

https://threatpost.com/mirai-botnet-sees-big-2019-growth-shifts-focus-to-enterprises/146547

https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack

https://www.cloudflare.com/learning/ddos/glossary/mirai-botnet/

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *