Вихідний код mirai. Ботнет мережі: як це працює і як на них заробляють

Атаки ботнету Mirai на американського DNS-провайдера Dyn у 2016 році викликали широкий резонанс та привернули підвищену увагу до ботнетів. Проте, в порівнянні з тим, як сучасні кіберзлочинці використовують ботнети сьогодні, атаки на компанію Dyn можуть здатися дитячими витівками. Злочинці швидко навчилися використовувати ботнети для запуску складних шкідливих програм, що дозволяють створювати цілі інфраструктури із заражених комп'ютерів та інших пристроїв із виходом до Інтернету для отримання незаконного прибутку у величезних масштабах.

В Останніми рокамиправоохоронні органи досягли певних успіхів у боротьбі зі злочинною діяльністю, пов'язаною з використанням ботнетів, але поки цих зусиль, звичайно ж, недостатньо, щоб пробити достатній пролом у ботнетах під керівництвом кіберзлочинців. Ось кілька відомих прикладів:

  • Міністерство юстиції США звинуватило двох молодих людей за їхню роль у розробці та використанні ботнету Mirai: 21-річному Парасу Джа (Paras Jha) та 20-річному Джошуа Вайту (Josiah White). Їх звинувачують в організації та проведенні DDoS-атак на компанії, а потім вимаганні викупу за їх припинення, а також продажу цих компаній «послуг» із запобігання подібним атакам у майбутньому.
  • Іспанська влада в рамках транскордонної операції на запит США заарештувала жителя Санкт-Петербурга Петра Левашова, відомого в кіберзлочинних колах як Peter Severa. Він керував Kelihos, одним з ботнетів, що довго існували в Інтернеті, який, як оцінюється, заразив близько 100 тис. комп'ютерів. Крім здирства, Петро Левашов активно використав Kelihos для організації спам-розсилок, беручи по $200-$500 за мільйон повідомлень.
  • Минулого року двох ізраїльських тінейджерів було заарештовано за звинуваченням в організації DDoS-атак за винагороду. Пара встигла заробити близько $600 тис. та провести близько 150 тис. DDoS-атак.

Ботнети є комп'ютерними мережами, що складаються з великої кількості підключених до Інтернету комп'ютерів або інших пристроїв, на яких без відома їх власників завантажено та запущено автономне програмне забезпечення — боти. Цікаво, що спочатку самі роботи були розроблені як програмні інструменти для автоматизації некримінальних одноманітних і повторюваних завдань. За іронією долі, один із перших успішних ботів, відомий як Eggdrop, і створений у 1993 році, був розроблений для управління та захисту каналів IRC (Internet Relay Chat) від спроб сторонніх осіб захопити управління ними. Але кримінальні елементи швидко навчилися використовувати потужність ботнетів, застосовуючи їх як глобальні, практично автоматичні системи, які приносять прибуток.

За цей час шкідливе програмне забезпечення ботнетів значно розвинулося, і зараз може використовувати різні методи атак, які відбуваються одночасно за декількома напрямками. Крім того, «ботекономіка» з погляду кіберзлочинців виглядає надзвичайно привабливо. Насамперед, практично відсутні витрати на інфраструктуру, оскільки для організації мережі із заражених машин використовуються скомпрометовані комп'ютери та інше обладнання з підтримкою виходу в Інтернет, звичайно, без відома власників цих пристроїв. Ця свобода від вкладень в інфраструктуру означає, що прибуток злочинців буде фактично дорівнює їхньому доходу від незаконної діяльності. Крім можливості використовувати таку «вигідну» інфраструктуру, для кіберзлочинців також надзвичайно важлива анонімність. Для цього при вимогі викупу вони, в основному, використовують такі криптовалюти, що не відслідковуються, як Bitcoin. З цих причин ботнети стали найбільш відданою платформою для кіберкриміналу.

З точки зору реалізації різних бізнес-моделей, ботнети є чудовою платформою для запуску різної шкідливої ​​функціональності, яка дає кіберзлочинцям незаконний дохід.

  • Швидке та масштабне поширення електронних листів, що містять програми-здирники, що вимагають викуп.
  • Як платформа для накручування числа кліків за посиланням.
  • Відкривання проксі-серверів для анонімного доступу до Інтернету.
  • Здійснення спроб зламування інших інтернет-систем методом повного перебору (або «грубої сили»).
  • Проведення масових розсилокелектронних листів та здійснення хостингу підроблених сайтів при великомасштабному фішингу.
  • Видалення CD-ключів або інших ліцензійних даних на програмне забезпечення.
  • Крадіжка персональної ідентифікаційної інформації.
  • Отримання даних про кредитні картки та іншу інформацію про банківський рахунок, включаючи PIN-коди або «секретні» паролі.
  • Встановлення клавіатурних шпигунівдля захоплення всіх даних, які користувач вводить у систему.

Як створити ботнет?

Важливим фактором, що сприяє популярності використання ботнетів серед кіберзлочинців у наш час, є та відносна легкість, з якою можна зібрати, поміняти та вдосконалити різноманітні компоненти шкідливого. програмного забезпеченняботнету. Можливість для швидкого створення ботнета з'явилася ще у 2015 році, коли у спільному доступівиявилися вихідні коди LizardStresser, інструментарію щодо DDoS-атак, створеного відомої хакерської групою Lizard Squad. Завантажити ботнет для проведення DDOS атаксьогодні може будь-який школяр (що вони вже й роблять, як пишуть видання новин по всьому світу).

Легко доступний для скачування і простий у використанні код LizardStresser містить деякі складні методи для здійснення DDoS-атак: тримати відкритим TCP-з'єднання, посилати випадкові рядки зі змістом символів на TCP-порт або UDP-порт, або повторно відправляти TCP-пакети із заданими значень прапорів. Шкідлива програма також включала механізм для довільного запуску команд оболонки, що є надзвичайно корисним для завантаження оновлених версій LizardStresser з новими командами та оновленим списком контрольованих пристроїв, а також встановлення на заражений пристрій іншого шкідливого програмного забезпечення. З того часу були опубліковані вихідні коди та інші шкідливим програмдля організації та контролю ботнетів, включаючи, в першу чергу, ПЗ Mirai, що драматично зменшило «високотехнологічний бар'єр» для початку кримінальної активності і, водночас, збільшило можливості для отримання прибутку та гнучкості застосування ботнетів.

Як інтернет речей (IoT) став клондайком для створення ботнетів

З точки зору кількості заражених пристроїв і генерованого ними під час атак трафіку вибухоподібний ефект мало масове використання незахищених IoT-пристроїв, що призвело до появи безпрецедентних за своїми масштабами ботнетів. Так, наприклад, влітку 2016 року до та безпосередньо під час Олімпійських Ігор у Ріо-де-Жанейро один з ботнетів, створений на основі програмного коду LizardStresser, переважно використовував близько 10 тис. заражених IoT-пристроїв (насамперед — веб-камери) для здійснення численних і тривалих у часі DDoS-атак зі стійкою потужністю понад 400 Гбіт/с, що досягла значення 540 Гбіт/с під час свого піку. Зазначимо також, що, за оцінками, оригінальний ботнет Mirai зміг скомпрометувати близько 500 тис. IoT-пристроїв у всьому світі.

Незважаючи на те, що після подібних атак багато виробників внесли деякі зміни, IoT-пристрої в більшості своїй все ще поставляються з встановленими заводськими налаштуваннями імені користувача та пароля або з відомими вразливістю в безпеці. Крім того, щоб заощадити час і гроші, частина виробників періодично дублюють апаратне та програмне забезпечення для різних класів пристроїв. Як результат: стандартні паролі, що використовуються для керування вихідним пристроєм, можуть бути застосовані для безлічі зовсім інших пристроїв. Таким чином, мільярди незахищених IoT пристроїв вже розгорнуті. І, незважаючи на те, що прогнозоване зростання їх кількості сповільнилося (хоч і незначно), очікуване збільшення світового парку «потенційно небезпечних» IoT-пристроїв в найближчому майбутньому не може не шокувати (див. графік нижче).

Багато IoT-пристроїв чудово підходять для неправомірного використання у складі злочинних ботнетів, так як:

  • Здебільшого вони некеровані, іншими словами працюють без належного контролю з боку системного адміністраторащо робить їх застосування як анонімні проксі надзвичайно ефективним.
  • Зазвичай вони знаходяться онлайн 24x7, а значить вони доступні для здійснення атак у будь-який час, причому, як правило, без будь-яких обмежень по пропускній здатності або фільтрації трафіку.
  • Вони часто використовують урізану версію операційної системи, реалізовану з урахуванням сімейства Linux. А шкідливе програмне забезпечення ботнетів може бути легко скомпільоване для широко використовуваних архітектур, переважно ARM/MIPS/x86.
  • Урізана операційна системаавтоматично означає менше можливостей для реалізації функцій безпеки, включаючи формування звітності, тому більшість загроз залишаються непоміченими власниками цих пристроїв.

Ось ще один недавній приклад, який допоможе усвідомити ту міць, яку можуть мати сучасні кримінальні інфраструктури ботнету: у листопаді 2017 року ботнет Necurs здійснив розсилку нового штаму вірусу-шифрувальника Scarab. У результаті масової компанії було надіслано близько 12,5 млн. інфікованих електронних листів, тобто швидкість розсилки становила більш як 2 млн. листів на годину. До речі, цей же ботнет був помічений у поширенні банківських троянів Dridex та Trickbot, а також вірусів-здирників Locky та Jans.

Висновки

Складена в останні роки благодатна ситуація для кіберзлочинців, пов'язана з високою доступністю і простотою використання більш складного і гнучкого шкідливого програмного забезпечення для ботнетів у поєднанні зі значним приростом кількості незахищених IoT-пристроїв, зробило кримінальні ботнети основним компонентом цифрової підпільної економіки, що росте. У цій економіці є ринки для збуту отриманих нелегальним шляхом даних, здійснення шкідливих дій проти конкретних цілей у межах надання послуг за наймом, і навіть для власної валюти. І всі прогнози аналітиків та фахівців з безпеки звучать вкрай невтішно — у найближчому майбутньому ситуація з неправомірним використанням ботнетів для отримання незаконного прибутку лише погіршиться.

Вічний параноїк, Антон Кочуков.


Див. також:

Зі зростанням популярності та масштабів Інтернету речей його пристрою почали використовувати зловмисники як платформу для організації найпотужніших кібератак. Ступінь серйозності та кількість гучних інцидентів безпеки за участю таких пристроїв показали, що вони найслабша ланка ланцюжка безпеки сучасних комп'ютерних мереж. І нехай обчислювальна потужність більшості суб'єктів Інтернету речей далека від можливостей ПК, її нестача поповнюється кількістю пристроїв, що об'єднані в єдине ціле. Всі вони завжди пов'язані з Мережею, і часто, працюючи в заводській конфігурації, стають ласим шматком для зломщиків. Величезна чисельність, широке поширення та слабка захищеність пристроїв Інтернету речей вже залучили чимало зловмисників, які з їхньою допомогою активно влаштовують DDoS-атаки.

«Майбутнє» вже тут

Недавній широко відомий приклад - ботнет Mirai (від японського "майбутнє". - Прим. ред.), вперше виявлений у серпні 2016 року дослідницькою групою MalwareMustDie. Сам шкідливість, а також його численні варіанти та наслідувачі стали джерелами найпотужніших DDoS-атак в історії ІТ-індустрії.

У вересні 2016 року сайт консультанта з комп'ютерної безпекиБрайана Кребса став отримувати трафік зі швидкістю 620 Гбіт/c, що на порядки більше за рівень, при якому більшість сайтів виходять з ладу. Приблизно в той же час ще потужніша DDoS-атака, організована за допомогою Mirai (1,1 Тбіт/с), вразила OVH, французького провайдера сервісів веб-хостингу хмарних сервісів. Незабаром було опубліковано вихідний код шкідливості, після чого зловмисники почали здавати в оренду ботнети на його основі, що містили до 400 тис. пристроїв. Відбувся ще ряд атак Mirai, найвідоміша з яких, організована проти сервіс-провайдера Dyn, у жовтні 2016-го на кілька годин вивела з ладу сотні сайтів, включаючи Twitter, Netflix, Reddit та GitHub.

Mirai зазвичай розповсюджується, спочатку заражаючи веб-камери, цифрові відеореєстратори, маршрутизатори і т.д., на яких працює одна з версій BusyBox. Потім шкідливість з'ясовує адміністративні віри інших пристроїв Інтернету речей шляхом простого перебору, використовуючи невеликий словник типових для виробників мережевих пристроїв пар «ім'я-пароль».

Згодом мутації Mirai почали з'являтися буквально щодня, і те, що у них зберігалася здатність розмножуватися і завдавати шкоди за допомогою тих самих методів, що й у оригіналу, вказує на хронічну зневагу виробників пристроїв Інтернету речей найпростішими методами захисту. Як не дивно, при цьому ботнети, утворені з таких пристроїв, досліджувалися слабо, незважаючи на небезпеку того, що більш складні атаки на їх основі потенційно здатні підірвати всю інфраструктуру Інтернету.

Принцип дії Mirai

Mirai влаштовує DDoS-атаку проти серверів-мішеней, активно розповсюджуючись через пристрої Інтернету речей із незахищеною конфігурацією.

Головні компоненти

Ботнет Mirai складається із чотирьох основних компонентів. Робот - шкідливість, що заражає пристрої і поширює «інфекцію» серед неправильно налаштованих пристроїв, а потім атакуючий сервер-мішень при отриманні відповідної команди від ботмайстра - людини, яка управляє ботами. Керуючий сервер надає ботмайстру інтерфейс, що дозволяє перевіряти стан ботнета та ініціювати нові DDoS-атаки. Зв'язок між елементами інфраструктури ботнета зазвичай здійснюється через анонімну мережа Tor. Завантажувач забезпечує поширення файлів для всіх апаратних платформ (всього їх 18, в тому числі ARM, MIPS, x86 та ін) шляхом прямого контакту з новими жертвами. Сервер звітів веде базу даних з відомостями про всі пристрої в ботнеті, а щойно заражені вузли зазвичай спілкуються з цим сервером безпосередньо.

Схема активності та зв'язку в ботнеті

Спочатку Mirai сканує порти 23 і 2323 за випадковими публічними IP-адресами. Деякі адреси виключаються (ймовірно, щоб не привертати уваги держструктур) - наприклад, що належать пошті США, Пентагону, IANA, а також компаніям General Electric та Hewlett-Packard. На рис. 1 показані основні етапи активності та обміну даними в ботнеті.

Етап 1.Бот проводить атаку шляхом підбору, з'ясовуючи вірчі дані пристроїв Інтернету речей, фабричні налаштування яких не змінювали. У словнику Mirai є 62 можливі пари "ім'я-пароль".

Етап 2.Виявивши робочі вірчі дані та отримавши з їх допомогою доступ до командному рядкуабо графічному інтерфейсу користувачаУстрою, бот передає його характеристики серверу звітів через інший порт.

Етап 3.Ботмайстер регулярно перевіряє потенційні мішені та поточний стан ботнета, спілкуючись із сервером звітів через Tor.

Етап 4.Вибравши вразливі пристрої для зараження, ботмайстер видає відповідні команди завантажувачу з усіма необхідними подробицями, у тому числі з IP-адресами та відомостями про апаратну архітектуру.

Етап 5.Завантажувач входить в систему вразливого пристрою і змушує її завантажити і запустити відповідний файл шкідливого файлу. Зазвичай завантаження відбувається за допомогою утиліти GNU Wget за протоколом TFTP. Примітно, що як тільки шкода запускається, він намагається захиститися від конкурентів, блокуючи порти, через які часто відбувається зараження, у тому числі Telnet і SSH. На цьому етапі свіжостворений екземпляр робота вже може спілкуватися з керуючим сервером і отримувати від нього команди на запуск атаки. Для цього виконується дозвіл доменного імені, жорстко закодованого у файлі (за замовчуванням в Mirai це cnc.changeme.com). Такий спосіб, що використовується замість прямого звернення IP-адресою, дозволяє ботмайстру міняти IP-адреси керуючого сервера без модифікації двійкових файлів і додаткового обміну інформацією.

Етап 6.Ботмайстер віддає команду всім екземплярам бота почати атаку проти сервера-мішені, передаючи через керуючий сервер відповідні параметри, у тому числі тип і тривалість атаки, а також IP-адреси самого сервера та екземплярів бота.

Етап 7.Боти починають атакувати ціль, використовуючи один з десятка доступних методів, серед яких флуд за протоколами Generic Routing Encapsulation, TCP і HTTP.

Характерні риси Mirai

На відміну від інших подібних шкідників, Mirai не намагається уникнути виявлення. Багато стадії зараження мають характерні ознаки, які можна розпізнати з допомогою нескладного мережевого аналізу: перебір певних вірчих даних через певні порти; надсилання складених спеціальним чином звітів; завантаження характерних двійкових файлів; обмін повідомленнями для збереження з'єднання; передача керуючих команд із характерною структурою; практично повна відсутність випадкових елементів у трафіку атаки.

На рис. 2 показані стандартні режими зв'язку між завантажувачем Mirai та пристроєм Інтернету речей, що вже зараженим, але ще не розпочав атаку. Тривалість сеансів варіюється, але типи та розміри пакетів, а також послідовність повідомлень підпорядковуються закономірностям, які вказують на зараження саме цим шкідливим впливом.

Варіанти Mirai

Здавалося б, публікація вихідного коду Mirai та його відносно гучний мережевий шум мали призвести до швидкої появи ефективних механізмів розпізнавання та захисту. Однак цього не сталося: лише через два місяці після публікації вихідного коду кількість екземплярів робота збільшилася більш ніж удвічі, з 213 тис. до 493 тис., і з'явилася велика кількість його різновидів. Навіть більше року після виявлення Mirai боти як і використовували слабкі конфігурації пристроїв тих самих типів, що й спочатку.

Більшість заражень Mirai відбуваються через порти TCP 23 або 2323, але в листопаді 2016 були виявлені штами вірусу, що звертаються до інших портів, у тому числі до 7547, яким інтернет-провайдери користуються для дистанційного керуваннямаршрутизаторами клієнтів. У тому ж місяці один із таких варіантів Mirai залишив без доступу до Мережі майже мільйон абонентів Deutsche Telekom.

У лютому 2017 року за допомогою варіанта Mirai було влаштовано DDoS-атаку тривалістю 54 години проти одного з американських коледжів. Наступного місяця з'явився ще один різновид - цього разу з вбудованими засобами майнінгу біткойнів, щоправда, за оцінками, використання пристроїв Інтернету речей для цих цілей навряд чи могло принести великий дохід.

У квітні розпочалася активність Persirai – ще одного ботнета, створеного з використанням кодової бази Mirai. Ця зомбі-мережа була виявлена ​​дослідниками Trend Micro, які дали їй ім'я, об'єднавши слова Persian і Mirai - перше було обрано з урахуванням іранського походження шкідливого. Він намагається отримати доступ до керуючого інтерфейсу веб-камер певних виробників через порт TCP 81. У разі успіху відбувається проникнення в маршрутизатор з використанням вразливості протоколу UPnP, а потім виконується завантаження, запуск та видалення додаткових двійкових файлів. Замість того щоб з'ясовувати вірчі дані для входу в інтерфейс камери шляхом підбору, вірус використовує пролом нульового дня, що дозволяє отримати файл з паролем. Розподілена DoS-атака здійснюється за допомогою флуду протоколу UDP. За оцінками, всього в Мережі було близько 120 тис. пристроїв, вразливих для Persirai.

Інші ботнети на основі Інтернету речей

Покладаючись на базові принципи Mirai, творці нових шкідників стали користуватися іншими, складнішими механізмами збільшення потужності і маскування активності зомбі-мереж.

У серпні 2016 року дослідники з організації MalwareMustDie повідомили про перший ботнет на основі Інтернету речей, створений з використанням мови скриптів Lua. Більшість армії ботнета становили кабельні модеми з процесорами ARM, які працюють під керівництвом Linux. Шкідливість має складні функції- наприклад, створює зашифрований канал обміну даними з керуючим сервером і визначає спеціальні правила iptables для захисту інфікованих пристроїв від конкурентів.

Ботнет Hajime, виявлений у жовтні 2016 року фахівцями Rapidity Networks, користується методом зараження, подібним до Mirai. Але замість централізованої архітектури Hajime спирається на розподілену систему зв'язку, застосовуючи BitTorrent Distributed Hash Tag (DHT) для виявлення бенкетів (рівноправних користувачів мережі), і використовує транспортний протокол uTorrent для обміну даними. Усі повідомлення шифруються за протоколом RC4. Поки що Hajime не виявив себе з негативної сторони, навпаки, він усуває потенційні джерела вразливостей у пристроях Інтернету речей, що використовуються ботнетами, подібними до Mirai, у зв'язку з чим висловлювалася думка, що він був створений якимось «Робін Гудом». Проте справжнє призначення ботнета і залишилося загадкою.

Ботнет BrickerBot, який, як і Mirai, заражає програмне забезпечення BusyBox, був виявлений експертами компанії Radware у квітні 2017 року. Користуючись довірчими даними, встановленими за замовчуванням у сервісі SSH, а також помилковими конфігураціями та відомими вразливістю, шкідливість намагається влаштовувати перманентні атаки на відмову в обслуговуванні (PDoS, Permanent DoS) проти пристроїв Інтернету речей, тобто достатньо руйнівних, щоб змушувати до повторного використання. заміні обладнання. BrickerBot псує прошивки пристроїв, видаляє на них файли та змінює налаштування мережі.

Уроки

Масштабна шкода, завдана атаками Mirai, його варіантів і подібних ботнетів, виразно продемонструвала ризики, створювані пристроями Інтернету речей. Світової мережі. Сьогодні досить нескладні віруси здатні брати такі пристрої під контроль і створювати величезні руйнівні армії «зомбі». Атакуючих у своїй приваблює простота вирощування популяції ботов. Можна перерахувати п'ять основних причин, через які пристрої Інтернету речей особливо вигідно використовуватиме створення ботнетів.

  1. Постійна, безперешкодна активність.На відміну від ноутбуків і настільних ПК, які часто включають і вимикають, багато пристроїв Інтернету речей (на зразок веб-камер і маршрутизаторів Wi-Fi) працюють цілодобово і часто сприймаються господарями як пристрої, які не можуть бути схильні до заражень.
  2. Відсутність захисту.Поспішаючи вийти на ринок Інтернету речей, багато виробників пристроїв нехтують безпекою, приділяючи більше уваги зручності та простоті використання.
  3. Відсутність контролю.Більшість пристроїв Інтернету речей використовуються за принципом «настроїв і забув» - після первинного налаштування сисадміни можуть приділити їм увагу лише якщо вони перестають штатно працювати.
  4. Великий трафік атак.Пристрої Інтернету речей сьогодні мають достатню потужність і вдале розташування для створення трафіку DDoS-атак, не менш потужного, ніж за допомогою сучасних настільних комп'ютерів.
  5. Неінтерактивні або мінімально інтерактивні інтерфейси користувача.Оскільки пристрої Інтернету речей зазвичай вимагають мінімального втручання користувача, зараження, швидше за все, залишиться непоміченим. Але навіть якщо його помітять, користувачам недоступні прості способиусунення шкоди за винятком фізичної заміни пристрою.

Поява DDoS-атак, що здійснюються пристроями Інтернету речей, передбачалося давно, і сьогодні кількість все більш складних варіантів та наслідувачів Mirai зростає загрозливими темпами. Такі шкідливості зазвичай здатні діяти на багатьох платформах і, відрізняючись малою ресурсоємністю, можуть задовольнятися мінімумом оперативної пам'яті. Крім того, процедура зараження відносно проста, що робить будь-який вразливий пристрій кандидатом на перетворення на зомбі, навіть якщо його часто перезавантажують. Більшість існуючих на сьогодні шкодочинів Інтернету речей легко піддаються виявленню та аналізу, проте нові боти стають дедалі скритнішими.

Зазвичай більша частина відповідальності за DDoS-атаки лежить на самих користувачах і сисадмінах, які нехтують елементарними запобіжними заходами. Однак у випадку ботнетів Інтернету речей вся відповідальність лежить на виробниках, що випускають слабко захищені продукти з фабричними налаштуваннями віддаленого доступу. Крім того, тільки у виробників пристроїв Інтернету є можливість автоматично надавати фірмові оновлення безпеки, які дозволили б захиститися від заражень. Звичайні методи підвищення надійності, що вимагають ручного втручання, наприклад часта зміна паролів, для пристроїв Інтернету речей, неможливі, оскільки поведінка таких пристроїв в мережі базується на принципі саморегулювання. Тому на сьогодні для Інтернету речей необхідні технічні засобиконтролю безпеки, а також продумані стандарти захисту для пристроїв, обов'язкові для дотримання всіма постачальниками.

Джеффрі Воас ( [email protected]) – науковий співробітник IEEE.

Constantinos Kolias, Georgios Kambourakis, Angelos Stavrou, Jefrey Voas, DDoS в IoT: Mirai and Other Botnets. IEEE Computer, July 2017, IEEE Computer Society. Всі права захищені. Reprinted with permission.

Минулого місяця були скоєні атаки на великі сайти, як Twitterабо Spotify, які тимчасово вивели їх з ладу. Для цього використовувався ботнет Mirai, що поєднує 400-500 тисяч пристроїв інтернету речей Тепер журналістам Motherboard стало відомо про те, що двоє хакерів змогли захопити контроль над ботнетом і створити його нову версію - вона об'єднує вже мільйон пристроїв. Його міць встигли випробувати на собі абоненти німецького провайдера Deutsche Telekom, мережа якого не працювала минулими вихідними.

Полювання на Mirai

Журналістам вдалося поговорити з одним із двох цих таємничих хакерів – він використовує нікнейм BestBuy. У зашифрованому онлайн-чаті він розповів їм, що серед зломщиків розгорнулася справжня боротьба за контроль над Mirai. У його софті нещодавно було виявлено вразливість. Її використання разом зі швидкістю могли дозволити BestBuy та його партнеру під ніком Popopret захопити контроль над більшою частиною ботнета та доповнити його новими пристроями.

Раніше наші експерти вивчили код ботнету Mirai – з'ясувалося, що він не був створений спеціально для пристроїв інтернету речей. Шкідливий софт шукає підключені до мережі пристрої з дефолтними логіна-паролями (admin:admin, root:password і т.п.). Це означає, що теоретично до його складу можуть входити будь-які пристрої, включаючи домашні комп'ютери та сервери або роутери.

IoT-пристрої- зазвичай роутери – входять до складу ботнета Miraiдо свого перезавантаження - потім черв'як стирається з їхньої пам'яті. Однак ботнет постійно сканує інтернет на предмет пошуку вразливих пристроїв, так що пристрій, що «вилікувався», може швидко знову стати його частиною. Серед хакерів розгорнулася справжня гонка за те, щоб першими інфікувати якнайбільше пристроїв.

Інформації про те, як творці нового Mirai встигають випередити конкурентів немає. Проте вони заявили журналістам, що використовують власний ботнет для сканування потенційно вразливих пристроїв, у тому числі тих, що раніше також були частиною ботнету.

«Чому б не змусити Mirai полювати Mirai і поглинути оригінал», - каже BestBuy.

Не тільки Mirai

Однак новий ботнет не лише поглинув старі пристрої з Mirai та нові з дефолтними паролями. Його творці також використовують 0-day вразливості у прошивках IoT-пристроїв. Експерти раніше прогнозували швидку появу таких «комбінованих» ботнетів.

Боротьба з ними помітно ускладнюється – якщо для протистояння Mirai самому користувачеві кінцевого пристрою достатньо лише змінити логін та пароль для доступу до нього, то з уразливістю гаджета він ніяк не зможе впоратися самостійно.

DDoS на 700 Гбіт/сек

Хакери BestBuy та Popopret почали рекламувати свої послуги – вони пропонують доступ до своєї нової версії Mirai, розсилаючи спам-повідомлення через XMPP/Jabber,

За словами хакера, вони пропонують замовникам кілька пакетів послуг. Дешевше коштує $2 000 - за ці гроші клієнти можуть орендувати від 20 000 до 25 000вузлів ботнета для запуску вартових у період до двох тижнів з часом перерви між атаками у п'ятнадцять хвилин. За $15 000 або $20 000 замовники отримують можливість вже 600 000 ботів для запуску двогодинних атак із 30 або 15-хвилинними перервами. У другому випадку потужність атаки становитиме 700 Гбіт/секабо більше.

Перспективи

Безпека IoT-пристроївчасто знаходиться на досить низькому рівні - це пояснюється тим, що вендори часто не зацікавлені у впровадженні додаткових заходів інформаційної безпеки. Вони рекламують простоту використання своєї продукції, проте додаткові заходи ІБ накладають обмеження і вимагають витрат ресурсів.

Як сказано вище, захистити користувачів від більш просунутих ботнетів зможуть лише розробники кінцевих пристроїв або провайдери, що їх надають (у разі роутерів). Німецький провайдер Deutsche Telekom, який постраждав від атаки нової версії Mirai, вже оголосив про те, що «перегляне ділові відносини» з постачальниками вразливих роутерів. Speedport, компанією Arcadyan.

Підвищити рівень захищеності інтернету речей в кінцевому підсумку можна буде за допомогою впровадження жорсткішого контролю пристроїв з боку провайдерів з одного боку, та розробкою стандартів та регулюючої документації для IoT з іншого. Подібні заходи вже вжито у багатьох країнах щодо забезпечення безпеки АСУ ТП. Перші кроки в цьому напрямку вже зроблено - наприклад, кілька IT-вендорів у вересні опублікували документ під назвою The Industrial Internet Security Framework (IISF)- У ньому пропонується вважати інтернет речей частиною «промислового інтернету».

Проте, поки що до остаточного вирішення питання ще далеко, і хакери BestBuy та Popopretможуть отримати монополію для проведення великих DDoS-атакв мережі. Це досить сумний факт, проте самі зломщики під час розмови з Motherboardзаявили про те, що у своїй діяльності керуватимуться не лише прибутком, а й моральними принципами. Так BestBuy заявив, що вони не дозволятимуть клієнтам атакувати IP-адреси компаній, що працюють із критичною інфраструктурою.

Два найвідоміші і поширені IoT-ботнети - Mirai і Gafgyt - продовжують «розмножуватися». Було виявлено нові варіанти цих шкідників, націлені на корпоративний сектор. Основна небезпека цих кіберзагроз полягає в добре організованих та досить потужних DDoS-атаках.

Причина такої поширеності цих двох зловредів криється в злитому вихідному коді, який став доступним громадськості кілька років тому. Початківці кіберзлочинці відразу ж почали винаходити свої зловмисні програми на його основі.

У більшості випадків, зважаючи на некомпетентність зловмисників, клони Mirai і Gafgyt не являли собою якихось серйозних проектів і не несли істотних змін у своїх можливостях.

Проте останні варіанти ботнетів продемонстрували тенденцію до зараження. корпоративних пристроїв. У звіті Unit 42 команди Palo Alto Networks, говориться, що нові зразки Mirai та Gafgyt додали до свого арсеналу низку нових експлойтів, які використовують старі вразливості.

Mirai тепер атакує системи, на яких запущений непропатчений Apache Struts (саме так минулого року зламали). Патч для пролому CVE-2017-5638 існує вже більше року, але, звичайно, не всі оновили своїм монтажем.

Всього у Mirai на даний момент 16 експлойтів, більшість з яких призначені для компрометації пристроїв на зразок маршрутизаторів, мережевих відеореєстраторів та різних камер.

Gafgyt (також відомий як Baslite) також атакує бізнес-обладнання, орієнтуючись на нещодавно виявлену вразливість CVE-2018-9866. Цей критичний недолік безпеки торкається непідтримуваних версій системи Global Management System (GMS) від SonicWall. Дослідники Unit 42 зафіксували нові зразки 5 серпня, тобто через тиждень після публікації модуля Metasploitдля цієї вразливості.

Уражені Gafgyt пристрої можуть сканувати інше обладнання на наявність різноманітних проблем безпеки, а також атакувати їх відомими експлойтами. Ще один вид атаки, який може здійснювати даний шкодонос - Blacknurse, є ICMP-атакою, яка сильно впливає на завантаження ЦП, що призводить до відмови в обслуговуванні.

Експерти також виявили, що ці два нові варіанти ботнетів було розміщено на одному домені. Це доводить, що за ними стоїть той самий кіберзлочинець або їхня група.

У кінець минулого місяця ми повідомляли, що . Такі дані наводяться у звіті Global Threat Index за липень 2018 року.

А вже цього місяця правоохоронці розкрили особу, яка стоїть за одним із найвідоміших приймачів Mirai – Satori. Виявилося, що кіберзлочинцю в даний час пред'явлені звинувачення.



Завантаження...
Top