Botnet Mirai, poprvé zaznamenaný v roce 2016, ovládl nebývalé množství zařízení a způsobil rozsáhlé škody v celosvětovém internetovém prostoru. Nyní se vrací a je ještě nebezpečnější než dříve.
Zdokonalený Mirai infikuje stále více zařízení
Dne 18. března 2019 odborníci na kybernetickou bezpečnost ze společnosti Palo Alto Networks oznámili, že botnet Mirai prošel vylepšením a modernizací, což mu umožňuje dosahovat svých cílů v ještě větším měřítku. Bylo zjištěno, že Mirai nyní využívá 11 nových exportů (čímž se jejich celkový počet zvýšil na 27) a rozšiřuje seznam výchozích přihlašovacích údajů, které se snaží zneužít. Některé z těchto změn cílí na firemní hardware, včetně televizorů LG Supersign TV a bezdrátových prezentačních systémů WePresent WiPG-1000.
Pokud se Mirai podaří ovládnout firemní hardware a proniknout do podnikových sítí, může se stát ještě silnějším. Ruchna Nigam, vedoucí výzkumník hrozeb ve společnosti Palo Alto Networks, k tomu uvádí:
„Tyto nové funkce poskytují botnetu rozsáhlou útočnou plochu. Zacílení na podnikové sítě mu navíc zajišťuje přístup k větší šířce pásma, což v konečném důsledku zvyšuje jeho útočnou sílu pro útoky DDoS.“
Tato nová verze Mirai i nadále útočí na běžné spotřebitelské routery, kamery a další zařízení připojená k internetu. Pro své destruktivní účely platí, že čím více infikovaných zařízení, tím lépe. Paradoxem je, že škodlivý kód byl umístěn na webové stránce propagující firmu, která se zabývá „elektronickým zabezpečením, integrací a monitorováním alarmů“.
Mirai – botnet útočící na zařízení IoT
Pro ty, kteří si nepamatují, v roce 2016 se zdálo, že botnet Mirai je všude. Zacílil na routery, DVR systémy, IP kamery a další zařízení, často označovaná jako zařízení internetu věcí (IoT). Patří sem i jednoduchá zařízení, jako jsou termostaty, které se připojují k internetu. Botnety fungují tak, že infikují skupiny počítačů a dalších zařízení připojených k internetu a následně je nutí koordinovaně útočit na systémy nebo provádět jiné zadané úkoly.
Mirai se zaměřoval na zařízení s výchozími přihlašovacími údaji správce, a to buď proto, že je nikdo nezměnil, nebo proto, že byly napevno zakódovány výrobcem. Botnet ovládl obrovské množství zařízení. I když většina těchto systémů neměla velký výpočetní výkon, jejich počet v souhrnu umožnil dosáhnout mnohem většího efektu, než by dokázal jediný výkonný počítač.
Mirai ovládl téměř 500 000 zařízení. Prostřednictvím tohoto seskupeného botnetu zařízení IoT Mirai ochromil služby jako Xbox Live a Spotify a webové stránky jako BBC a Github tím, že se zaměřil přímo na poskytovatele DNS. S tak velkým počtem infikovaných zařízení byl poskytovatel DNS Dyn zasažen útokem DDOS, který dosáhl 1,1 terabajtu provozu. Útok DDOS funguje tak, že zaplaví cíl obrovským množstvím internetového provozu, které cíl nedokáže zpracovat. To vede k zpomalení nebo úplnému vyřazení webových stránek nebo služeb z internetu.
Původní tvůrci botnetu Mirai byli zatčeni, usvědčeni a odsouzeni k podmíněnému trestu. Po nějakou dobu se zdálo, že Mirai je potlačen. Nicméně, dostatečné množství kódu přežilo, takže se ho chopili další škodliví aktéři, kteří Mirai upravili pro své potřeby. A nyní se objevuje další varianta Mirai.
Jak se chránit před Mirai
Mirai, stejně jako ostatní botnety, využívá známé zranitelnosti k útokům a kompromitaci zařízení. Dále se pokouší využít známé výchozí přihlašovací údaje k získání přístupu k zařízením a jejich převzetí. Vaše tři hlavní linie ochrany jsou tedy poměrně jednoduché.
Pravidelně aktualizujte firmware a software všech zařízení, která máte doma nebo v práci a která jsou připojena k internetu. Hackování je neustálý boj kočky s myší a jakmile výzkumník objeví novou zranitelnost, objevují se záplaty, které problém řeší. Botnety jako tento se spoléhají na zařízení, která nebyla aktualizována, a tato varianta Mirai není výjimkou. Zranitelnosti cílené na firemní hardware byly objeveny už v září minulého roku a v roce 2017.
Co nejdříve změňte výchozí přihlašovací údaje správce vašich zařízení (uživatelské jméno a heslo). U routerů to můžete provést prostřednictvím webového rozhraní routeru nebo v mobilní aplikaci (pokud ji má). U ostatních zařízení, u kterých se přihlašujete pomocí výchozího uživatelského jména nebo hesla, nahlédněte do uživatelské příručky.
Pokud se můžete přihlásit s uživatelským jménem „admin“, heslem „password“ nebo s prázdným heslem, je nutné to okamžitě změnit. Při každém nastavování nového zařízení nezapomeňte změnit výchozí přihlašovací údaje. Pokud jste již zařízení nastavili a zapomněli jste změnit heslo, udělejte to hned. Tato nová varianta Mirai cílí na nové kombinace výchozích uživatelských jmen a hesel.
Pokud výrobce vašeho zařízení přestal vydávat aktualizace firmwaru nebo napevno zakódoval přihlašovací údaje správce a vy je nemůžete změnit, zvažte výměnu zařízení.
Nejlepší způsob, jak to zkontrolovat, je začít na webových stránkách výrobce. Najděte sekci podpory pro vaše zařízení a vyhledejte informace o aktualizacích firmwaru. Zkontrolujte, kdy byla vydána poslední aktualizace. Pokud od aktualizace firmwaru uplynulo již několik let, výrobce pravděpodobně vaše zařízení již nepodporuje.
Pokyny ke změně přihlašovacích údajů správce naleznete také na webových stránkách podpory výrobce zařízení. Pokud nemůžete najít poslední aktualizaci firmwaru ani způsob, jak změnit heslo zařízení, je pravděpodobně čas zařízení vyměnit. Není bezpečné mít trvale zranitelné zařízení připojené k vaší síti.
Pokud je nejnovější firmware z roku 2012, měli byste zařízení vyměnit.
Výměna zařízení se může zdát drastická, ale pokud jsou zranitelná, je to vaše nejlepší volba. Botnety, jako je Mirai, nezmizí. Musíte chránit svá zařízení. A tím, že budete chránit svá vlastní zařízení, budete chránit i celý internet.