Az először 2016-ban felfedezett Mirai botnet példátlan számú eszközt vett át, és hatalmas károkat okozott az interneten. Most visszatért, és veszélyesebb, mint valaha.
Tartalomjegyzék
Az új és továbbfejlesztett Mirai egyre több eszközt fertőz meg
2019. március 18-án a biztonsági kutatók a Palo Alto Networks nyilvánosságra hozta, hogy a Mirai-t módosították és frissítették, hogy nagyobb léptékben is elérje ugyanazt a célt. A kutatók azt találták, hogy a Mirai 11 új exportot használt (ez összesen 27), és az alapértelmezett rendszergazdai hitelesítő adatok új listáját próbálta ki. A változtatások egy része az üzleti hardvereket célozza meg, köztük az LG Supersign TV-ket és a WePresent WiPG-1000 vezeték nélküli prezentációs rendszereket.
A Mirai még erősebb lehet, ha képes átvenni az üzleti hardvert és irányítani az üzleti hálózatokat. Ahogy Ruchna Nigam, a Palo Alto Networks vezető fenyegetéskutatója, felteszi:
Ezek az új funkciók nagy támadási felületet biztosítanak a botnet számára. A vállalati hivatkozások megcélzása nagyobb sávszélességhez is hozzáférést biztosít, ami végső soron nagyobb tűzerőt eredményez a botnet számára a DDoS-támadásokhoz.
A Miria ezen változata továbbra is támadja a fogyasztói útválasztókat, kamerákat és más hálózatra csatlakoztatott eszközöket. Pusztító célból minél több eszköz fertőzött, annál jobb. Némileg ironikus, hogy a rosszindulatú rakományt egy olyan webhelyen tárolták, amely egy „Elektronikus biztonsággal, integrációval és riasztásfigyeléssel” foglalkozó vállalkozást hirdetett.
A Mirai egy botnet, amely megtámadja az IOT-eszközöket
Ha nem emlékszel, 2016-ban úgy tűnt, hogy a Mirai botnet mindenhol ott volt. Az útválasztókat, a DVR-rendszereket, az IP-kamerákat és egyebeket célozta meg. Ezeket gyakran Internet of Things (IoT) eszközöknek nevezik, és egyszerű eszközöket, például termosztátokat tartalmaznak, amelyek az internethez csatlakoznak. A botnetek úgy működnek, hogy megfertőzik a számítógépek csoportjait és más, internetre csatlakozó eszközöket, majd a fertőzött gépeket arra kényszerítik, hogy koordinált módon támadjanak rendszereket vagy más célokat szolgáljanak.
A Mirai az alapértelmezett adminisztrátori hitelesítő adatokkal rendelkező eszközök után ment, vagy azért, mert senki nem változtatta meg őket, vagy azért, mert a gyártó keményen kódolta őket. A botnet hatalmas számú eszközt vett át. Még ha a legtöbb rendszer nem is volt túl erős, a puszta összedolgozott számok együtt többet tudtak elérni, mint egy nagy teljesítményű zombi számítógép önmagában.
A Mirai közel 500 000 készüléket vett át. Az IoT-eszközök ezen csoportosított botnetje segítségével a Mirai megbénította az olyan szolgáltatásokat, mint az Xbox Live és a Spotify, valamint az olyan webhelyeket, mint a BBC és a Github, mivel közvetlenül a DNS-szolgáltatókat célozta meg. A sok fertőzött géppel a Dyn-t (a DNS-szolgáltatót) egy DDOS-támadás érte, amely 1,1 terabájt forgalmat ért el. A DDOS támadás úgy működik, hogy a célpontot hatalmas mennyiségű internetes forgalommal árasztja el, többet, mint amennyit a célpont elbír. Ez feltérképezi az áldozat webhelyét vagy szolgáltatását, vagy teljesen kikapcsolja az internetről.
A Marai botnet szoftver eredeti alkotói voltak letartóztatták, bűnösnek vallotta magát, és próbaidőt kapott. Egy időre Mirait lekapcsolták. De a kódból elegendő maradt ahhoz, hogy más rossz színészek átvehessék Mirait, és az igényeiknek megfelelően módosítsák. Most van a Mirai egy másik változata.
Hogyan védje meg magát Mirai ellen
A Mirai a többi botnethez hasonlóan ismert exploitokat használ az eszközök megtámadására és kompromittálására. Megpróbálja az ismert alapértelmezett bejelentkezési hitelesítő adatokat is használni az eszközbe való beillesztéshez és annak átvételéhez. Tehát a három legjobb védelmi vonal egyenesen előre halad.
Mindig frissítse a firmware-t (és szoftvert) mindazoknak, amelyek az otthonában vagy a munkahelyén vannak, és amelyek képesek csatlakozni az internethez. A hackelés macska-egér játék, és amint egy kutató felfedez egy új kizsákmányolást, javítások következnek a probléma megoldására. Az ehhez hasonló botnetek jól működnek a javítatlan eszközökön, és ez a Mirai változat sem különbözik egymástól. Az üzleti hardvert célzó visszaéléseket tavaly szeptemberben és 2017-ben azonosították.
A lehető leghamarabb módosítsa eszközei rendszergazdai hitelesítő adatait (felhasználónév és jelszó). Útválasztók esetén ezt megteheti az útválasztó webes felületén vagy mobilalkalmazásában (ha van ilyen). Más eszközök esetében, amelyekre alapértelmezett felhasználónevükkel vagy jelszavaikkal jelentkezik be, tekintse meg az eszköz kézikönyvét.
Ha adminisztrátorral, jelszóval vagy üres mezővel tudsz bejelentkezni, akkor ezt módosítanod kell. Minden alkalommal módosítsa az alapértelmezett hitelesítési adatokat, amikor új eszközt állít be. Ha már beállította az eszközöket, és elmulasztotta megváltoztatni a jelszót, tegye meg most. A Mirai új változata az alapértelmezett felhasználónevek és jelszavak új kombinációit célozza meg.
Ha az eszköz gyártója leállította az új firmware-frissítések kiadását, vagy bekódolta a rendszergazdai hitelesítő adatokat, és nem tudja megváltoztatni azokat, fontolja meg az eszköz cseréjét.
Az ellenőrzés legjobb módja, ha a gyártó webhelyéről indul. Keresse meg az eszköz támogatási oldalát, és keresse meg a firmware-frissítésekkel kapcsolatos figyelmeztetéseket. Ellenőrizze, hogy mikor adták ki az utolsót. Ha évek teltek el a firmware-frissítés óta, a gyártó valószínűleg már nem támogatja az eszközt.
Az adminisztrációs hitelesítő adatok módosítására vonatkozó utasításokat az eszköz gyártójának támogatási webhelyén is találja. Ha nem találja a legutóbbi firmware-frissítéseket vagy módot az eszköz jelszavának megváltoztatására, akkor valószínűleg ideje kicserélni az eszközt. Nem szeretné, ha valami tartósan sebezhető maradna a hálózatához kapcsolódva.
Ha a talált legújabb firmware 2012-ből származik, cserélje ki az eszközt.
Az eszközök cseréje drasztikusnak tűnhet, de ha sérülékenyek, ez a legjobb megoldás. Az olyan botnetek, mint a Mirai, nem tűnnek el. Meg kell védenie eszközeit. És saját eszközeinek védelmével az internet többi részét is megvédi.