O strategie folosită de atacatorii rău intenționați pentru a-și extinde atacurile cibernetice este utilizarea botnet-urilor.
Un botnet este o rețea de computere care au fost infectate cu programe malware și sunt controlate de la distanță de un actor rău intenționat. Un astfel de actor rău intenționat care controlează un grup de computere infectate se numește păstor de bot. Dispozitivele individuale infectate sunt denumite boți.
Păstorii de roboți comandă și controlează grupul de computere infectate, permițându-le să conducă atacuri cibernetice la o scară mult mai mare. Rețelele bot au fost folosite în mod proeminent în denial of service la scară largă, phishing, atacuri de spam și furtul de date.
Un exemplu de malware care a câștigat notorietate de atunci pentru deturnarea dispozitivelor digitale pentru a crea botnet-uri foarte mari este malware-ul Mirai Botnet. Mirai este un malware pentru botnet care vizează și exploatează vulnerabilitățile din dispozitivele Internet of Things (IoT) care rulează Linux.
La infectare, Mirai deturnează dispozitivul IoT transformându-l într-un bot controlat de la distanță care poate fi folosit ca parte a unui botnet pentru a lansa atacuri cibernetice masive. Mirai a fost scris folosind C și GO.
Malware-ul a câștigat proeminență în 2016, când a fost folosit într-un atac de refuz de serviciu distribuit (DDOS) asupra DYN, un furnizor de sistem de nume de domeniu. Atacul a împiedicat utilizatorii de internet să acceseze site-uri precum Airbnb, Amazon, Twitter, Reddit, Paypal și Visa, printre altele.
Malware Mirai a fost, de asemenea, responsabil pentru atacurile DDOS asupra site-ului de securitate cibernetică Krebs on Security și a companiei franceze de cloud computing OVHCloud.
Cuprins
Cum a fost creată Mirai
Malware-ul Mirai a fost scris de Paras Jha și Josiah White, care la acea vreme erau studenți la 20 de ani și, de asemenea, fondatorii ProTraf Solutions, o companie care oferea servicii de atenuare a DDOS. Mirai Malware a fost scris folosind limbaje de programare C și Go.
Inițial, scopul lor pentru Mirai a fost să distrugă serverele Minecraft concurente folosind atacuri DDOS, astfel încât să poată obține mai mulți clienți eliminând concurența.
Folosirea lor pentru Mirai s-a mutat apoi la extorcare și racket. Cei doi aveau să lanseze atacuri DDOS asupra companiilor, apoi să contacteze companiile pe care le atacaseră pentru a oferi atenuări DDOS.
Mirai Botnet a atras atenția autorităților și a comunității de securitate cibernetică după ce a fost folosit pentru a distruge site-ul Krebs on Security și atacul acestuia asupra OVH. Pe măsură ce Mirai Botnet a început să facă titluri, creatorii au scurs codul sursă către Mirai Botnet pe un forum de hacking accesibil public.
Aceasta a fost probabil o încercare de a le acoperi urmele și de a evita să fie considerați responsabili pentru atacurile DDOS făcute folosind Mirai Botnet. Codul sursă pentru Mirai Botnet a fost preluat de alți criminali cibernetici, iar acest lucru a dus la crearea unor variante ale Mirai Botnet precum Okiru, Masuta și Satori și PureMasuta.
Creatorii Mirai Botnet au fost, însă, ulterior capturați de FBI. Cu toate acestea, ei nu au fost închiși și, în schimb, au primit pedepse mai ușoare, deoarece au cooperat cu FBI în capturarea altor criminali cibernetici și prevenirea atacurilor cibernetice.
Cum funcționează Mirai Botnet
Un atac al Mirai Botnet implică următorii pași:
Este de remarcat faptul că Mirai Botnet a venit cu intervale de IP pe care nu le-a vizat sau infectat. Acestea includ rețelele private și adresele IP atribuite Departamentului de Apărare al Statelor Unite și Serviciului Poștal al Statelor Unite.
Tipuri de dispozitive vizate de Mirai Botnet
Ținta principală pentru Mirai Botnet sunt dispozitivele IoT care folosesc procesoare ARC. Potrivit lui Paras Jha, unul dintre autorii botului Mirai, majoritatea dispozitivelor IoT infectate și utilizate de Mirai Botnet erau routere.
Cu toate acestea, lista cu potențialele victime pentru Mirai Botnet include și alte dispozitive IoT care folosesc procesoare ARC.
Acestea ar putea include dispozitive inteligente de acasă, cum ar fi camere de securitate, monitoare pentru copii, termostate și televizoare inteligente, dispozitive portabile, cum ar fi trackere de fitness și ceasuri, și dispozitive medicale IoT, cum ar fi monitoare de glucoză și pompe de insulină. Dispozitivele industriale IoT și dispozitivele medicale IoT care folosesc procesoare ARC pot fi, de asemenea, victime ale rețelei botne Mirai.
Cum să detectați o infecție Mirai Botnet
Mirai Botnet este conceput pentru a fi ascuns în atacul său și, prin urmare, detectarea faptului că dispozitivul dvs. IoT este infectat cu Mirai Botnet nu este o sarcină ușoară. Cu toate acestea, nu sunt ușor de detectat. Cu toate acestea, căutați următorii indicatori care ar putea semnala o posibilă infecție Mirai Botnet pe dispozitivul dvs. IoT:
- Conexiune la internet încetinită – Rețeaua botnet Mirai poate provoca încetinirea internetului, deoarece dispozitivele dvs. IoT sunt folosite pentru a lansa atacuri DDOS.
- Trafic neobișnuit în rețea – În cazul în care vă monitorizați în mod regulat activitatea în rețea, este posibil să observați o creștere bruscă a traficului în rețea sau cererile trimise către adrese IP necunoscute
- Performanță redusă a dispozitivului – Dispozitivul dvs. IoT funcționează suboptim sau prezintă un comportament neobișnuit, cum ar fi închiderea sau repornirea de la sine, ar putea fi un indicator al unei posibile infecții Mirai.
- Modificări ale configurațiilor dispozitivelor – Mirai Botnet poate face modificări setărilor dispozitivelor dvs. IoT sau configurațiilor implicite pentru a face dispozitivele mai ușor de exploatat și controlat în viitor. În cazul în care observați modificări în configurațiile dispozitivelor dvs. IoT și nu sunteți responsabil pentru acestea, ar putea indica o posibilă infecție Mirai Botnet.
Deși există semne la care poți fi atent pentru a ști dacă dispozitivul tău a fost infectat, uneori, s-ar putea să nu le observi cu ușurință, pur și simplu pentru că Mirai Botnet este realizat în așa fel încât să fie foarte greu de detectat. Drept urmare, cel mai bun mod de a trata acest lucru este să împiedicați Mirai Botnet să vă infecteze dispozitivele IoT.
Cu toate acestea, în cazul în care bănuiți că a fost detectat un dispozitiv IoT, deconectați-l de la rețea și reconectați dispozitivul numai după ce amenințarea a fost eliminată.
Cum să vă protejați dispozitivele de infecția Mirai Botnet
Strategia cheie a Mirai Botnet în infectarea dispozitivelor IoT este să testeze o mulțime de configurații implicite bine-cunoscute pentru a vedea dacă utilizatorii încă folosesc configurațiile implicite.
Dacă acesta este cazul, Mirai se conectează și infectează dispozitivele. Prin urmare, un pas important în protejarea dispozitivelor dvs. IoT de Mirai Botnet este evitarea folosirii numelor de utilizator și parolelor implicite.
Asigurați-vă că vă schimbați acreditările și folosiți parole care nu pot fi ghicite cu ușurință. Puteți folosi chiar și un generator de parole aleatorii pentru a obține parole unice care nu pot fi ghicite.
Un alt pas pe care îl puteți face este actualizarea regulată a firmware-ului dispozitivului și, de asemenea, instalarea de corecții de securitate ori de câte ori sunt lansate. Companiile lansează adesea patch-uri de securitate în cazul în care sunt descoperite vulnerabilități în dispozitivele lor.
Prin urmare, instalarea de corecții de securitate ori de câte ori sunt lansate vă poate ajuta să rămâneți în fața atacatorilor. În cazul în care dispozitivul dvs. IoT are acces la distanță, luați în considerare și dezactivarea acestuia, în cazul în care nu aveți nevoie de această funcționalitate.
Alte măsuri pe care le puteți lua includ monitorizarea regulată a activității în rețea și segmentarea rețelei dvs. de acasă, astfel încât dispozitivele IoT să nu fie conectate la rețelele critice de acasă.
Concluzie
Deși creatorii Mirai Botnet au fost reținuți de autorități, riscul de infectare Mirai Botnet încă persistă. Codul sursă Mirai Botnet a fost lansat publicului, iar acest lucru a dus la crearea unor variante letale ale Mirai Botnet, care vizează dispozitivele IoT și au mai mult control asupra dispozitivelor.
Prin urmare, atunci când achiziționați dispozitive IoT, caracteristicile de securitate oferite de producătorul dispozitivului ar trebui să fie un aspect cheie. Cumpărați dispozitive IoT care au caracteristici de securitate care previn posibilele infecții cu malware.
În plus, evitați utilizarea configurațiilor implicite pe dispozitivele dvs. și actualizați în mod regulat firmware-ul dispozitivului și instalați toate cele mai recente corecții de securitate ori de câte ori sunt lansate.
De asemenea, puteți explora cele mai bune instrumente EDR pentru a detecta și a răspunde rapid la atacurile cibernetice.