Botnet Mirai, který byl poprvé objeven v roce 2016, převzal bezprecedentní množství zařízení a způsobil obrovské škody na internetu. Nyní je zpět a nebezpečnější než kdy předtím.
Table of Contents
Nový a vylepšený Mirai infikuje více zařízení
Dne 18. března 2019 bezpečnostní výzkumníci na Palo Alto Networks odhalil, že Mirai byl vylepšen a aktualizován, aby dosáhl stejného cíle ve větším měřítku. Výzkumníci zjistili, že Mirai používá 11 nových exportů (celkem se tak zvýšilo na 27) a nový seznam výchozích pověření správce k vyzkoušení. Některé změny se zaměřují na podnikový hardware, včetně televizorů LG Supersign TV a bezdrátových prezentačních systémů WePresent WiPG-1000.
Mirai může být ještě výkonnější, pokud dokáže převzít podnikový hardware a ovládnout obchodní sítě. Jako Ruchna Nigam, hlavní výzkumník hrozeb ve společnosti Palo Alto Networks, klade to:
Tyto nové funkce poskytují botnetu velkou útočnou plochu. Zejména zacílení na podnikové odkazy jim také poskytuje přístup k větší šířce pásma, což v konečném důsledku vede k větší palebné síle botnetu pro útoky DDoS.
Tato varianta Miria nadále útočí na spotřebitelské routery, kamery a další zařízení připojená k síti. Pro destruktivní účely platí, že čím více infikovaných zařízení, tím lépe. Poněkud ironií bylo, že škodlivý náklad byl hostován na webové stránce propagující firmu, která se zabývala „elektronickým zabezpečením, integrací a monitorováním alarmů“.
Mirai je botnet, který útočí na zařízení IOT
Pokud si nepamatujete, v roce 2016 se zdálo, že botnet Mirai byl všude. Zaměřilo se na routery, DVR systémy, IP kamery a další. Často se jim říká zařízení internetu věcí (IoT) a zahrnují jednoduchá zařízení, jako jsou termostaty, které se připojují k internetu. Botnety fungují tak, že infikují skupiny počítačů a dalších zařízení připojených k internetu a poté nutí tyto infikované stroje, aby útočily na systémy nebo pracovaly na jiných cílech koordinovaným způsobem.
Mirai šel po zařízeních s výchozími přihlašovacími údaji správce, buď proto, že je nikdo nezměnil, nebo protože je výrobce napevno zakódoval. Botnet převzal obrovské množství zařízení. I když většina systémů nebyla příliš výkonná, pouhá čísla by mohla spolupracovat k dosažení více, než by dokázal výkonný počítač se zombiemi sám o sobě.
Mirai převzal téměř 500 000 zařízení. Pomocí tohoto seskupeného botnetu zařízení IoT Mirai ochromila služby jako Xbox Live a Spotify a webové stránky jako BBC a Github tím, že se zaměřovala přímo na poskytovatele DNS. S tolika infikovanými stroji byl Dyn (poskytovatel DNS) zničen útokem DDOS, který zaznamenal 1,1 terabajtu provozu. Útok DDOS funguje tak, že zaplaví cíl obrovským množstvím internetového provozu, více, než může cíl zvládnout. Tím dojde k procházení webových stránek nebo služeb oběti nebo jejich úplnému vypnutí z internetu.
Původními tvůrci softwaru pro botnet Marai byli zatčen, uznán vinným a dostal podmínku. Na nějakou dobu byla Mirai zavřená. Ale dost kódu přežilo na to, aby jiní špatní herci převzali Mirai a upravili ji tak, aby vyhovovala jejich potřebám. Nyní je tu další varianta Mirai.
Jak se chránit před Mirai
Mirai, stejně jako ostatní botnety, využívá známé exploity k útokům na zařízení a jejich kompromitaci. Také se pokouší použít známé výchozí přihlašovací údaje k práci do zařízení a jeho převzetí. Vaše tři nejlepší linie ochrany jsou tedy přímočaré.
Vždy aktualizujte firmware (a software) všeho, co máte doma nebo na pracovišti a lze se připojit k internetu. Hacking je hra na kočku a myš, a jakmile výzkumník objeví nový exploit, následují záplaty, které problém napraví. Botnetům, jako je tento, se daří na nepatchovaných zařízeních a tato varianta Mirai není jiná. Exploaty zaměřené na obchodní hardware byly identifikovány loni v září a v roce 2017.
Co nejdříve změňte přihlašovací údaje správce svých zařízení (uživatelské jméno a heslo). U směrovačů to můžete provést ve webovém rozhraní směrovače nebo v mobilní aplikaci (pokud ji má). U ostatních zařízení, do kterých se přihlašujete pomocí výchozího uživatelského jména nebo hesla, nahlédněte do návodu k zařízení.
Pokud se můžete přihlásit pomocí admin, hesla nebo prázdného pole, musíte toto změnit. Při každém nastavování nového zařízení nezapomeňte změnit výchozí přihlašovací údaje. Pokud jste již zařízení nastavili a zapomněli jste změnit heslo, udělejte to nyní. Tato nová varianta Mirai se zaměřuje na nové kombinace výchozích uživatelských jmen a hesel.
Pokud výrobce vašeho zařízení přestal vydávat nové aktualizace firmwaru nebo napevno zakódoval přihlašovací údaje správce a vy je nemůžete změnit, zvažte výměnu zařízení.
Nejlepší způsob, jak to zkontrolovat, je začít na webu výrobce. Najděte stránku podpory pro své zařízení a vyhledejte všechna upozornění týkající se aktualizací firmwaru. Zkontrolujte, kdy byl uvolněn poslední. Pokud od aktualizace firmwaru uplynuly roky, výrobce pravděpodobně již zařízení nepodporuje.
Pokyny ke změně přihlašovacích údajů pro správu naleznete také na webu podpory výrobce zařízení. Pokud nemůžete najít poslední aktualizace firmwaru nebo metodu, jak změnit heslo zařízení, je pravděpodobně čas zařízení vyměnit. Nechcete nechat něco trvale zranitelného připojené k vaší síti.
Pokud je nejnovější firmware z roku 2012, měli byste své zařízení vyměnit.
Výměna vašich zařízení se může zdát drastická, ale pokud jsou zranitelná, je to vaše nejlepší volba. Botnety jako Mirai nezmizí. Musíte chránit svá zařízení. A tím, že budete chránit svá vlastní zařízení, budete chránit i zbytek internetu.