За последние несколько месяцев уже было обнаружено столько мутантов-потомков Mirai, что даже удивительно, что мировая инфраструктура еще стоит. Вот и еще один многоголовый уродец в список: ранее неизвестный вариант зловреда Mirai использует сразу 13 эксплойтов для атак на целевые устройства. Это не первый и не последний сынок архиботнета, так почему же их активность такая низкая?
Возможно, дело в том, что исходный код, на котором построены Mirai-образные ботнеты уязвим и достаточно просто выключается. В мае 2019 года Анкит Анубхав, ведущий исследователь компании NewSky Security, рассказал о феноменально простом методе эксплуатации уязвимости в знаменитом ботнете, которым можно массово обрушить «марионеточные» C2-серверы. Для этого нужно всего лишь подключиться к ним с именем пользователя, содержащим более 1025 букв «a». Проанализировав на Github исходный код Mirai, эксперты обратили внимание, что имя пользователя передается кастомной функции Readline. Эта функция фиксирует размер буфера на длине в 1024 символов. То есть все, что будет больше 1024, выведет из строя соответствующие модули. Эта дыра актуальна для большинства версий главного из ботнетов.
А возможно дело в отсутствии единого координационного центра. Самое страшное, что можно себе представить, это идейный хакер, цифровой Аль Багдади…АКБ еще раз подчеркивает, что большинство IoT-ботнетов в 2019 году технически основаны именно на Mirai.
Вернемся к нашему 13-головому другу. Новый IoT-ботнет оснащен компонентами для атаки на роутеры различных производителей, IP-камеры, видеорегистраторы и другое оборудование. Хотя вся полезная нагрузка уже встречалась исследователями в кампаниях более старых версий Mirai, однако вместе все 13 эксплойтов используются впервые. На практике чаще всего, по наблюдениям специалистов, ботнет использует зараженное IoT-оборудование для организации DDoS-атак, т.е. создатели нового штамма Mirai просто скопировали код из нескольких вариантов зловреда, рассчитывая увеличить количество устройств, которые будут инфицированы в рамках одной кампании. Получается пока не очень.
Предыдущая гидра, описанная в феврале , кстати, имела сразу 27 голов-эксплоитов. Они были нацелены, в частности, на следующие устройства:
Телевизоры LG Supersign
Беспроводные решения для презентаций WePresent WiPG-1000
Облачные камеры DLink DCS-930L
Роутеры DLink DIR-645, DIR-815
Роутеры Zyxel P660HN-T
Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620
Модемы и роутеры Netgear DGN2200 N300
Контроллеры Netgear Prosafe WC9500, WC7600, WC7520+процессоры Altera Nios II, OpenRISC, Tensilica Xtensa и Xilinx MicroBlaze, которые можно встретить во многих встраиваемых системах, в том числе, в роутерах, сетевых датчиках, цифровых сигнальных процессорах и так далее.
Напоминаем про цифру: 324 миллиона долларов. Во столько, по подсчетам калифорнийских экспертов, обошлась DDoS-атака ботнета Mirai в сентябре 2016 года. Тогда 24 тысячи зараженных умных видеокамер непрерывно 77 часов утюжили сайт специалиста по инфобезопасности Брайана Кребса.
В декабре прошлого года трое американцев – Парас Джа, Джозайа Уайт и Дэлтон Нортон – признали свою вину в создании и применении Mirai. Им грозит до 10 лет тюрьмы каждому. и применении одноименной ботсети для организации DDoS-атак. Ботнет, как утверждает ФБР, состоял из более чем 300000 устройств, прежде всего, видеорегистраторов, IP-камер и маршрутизаторов. Полную мощь Mirai показал во время атаки на DNS-провайдера Dyn осенью 2016 года, которая серьезно нарушила работу ряда крупных ресурсов, включая GitHub, PayPal, Pinterest, Reddit, Soundcloud, Spotify и Twitter.
Читайте также на АКБ:
…Обнаружена программа, которая позволяет переносить бот Mirai с зараженного Windows-узла на любое уязвимое «умное» устройство, работающее на Linux, сообщает «Лаборатория Касперского» (ЛК). Mirai стал самым крупным в истории ботнетом из «умных» устройств, в этом году Mirai уже атаковал не меньше 500 уникальных систем. Под удар попали в основном развивающиеся страны. Теперь ботнет может пополняться не только за счет прямого взлома гаджетов «Интернета вещей» (IoT), но и за счет заражения их через традиционные ПК (если «умное» устройство подключено к компьютеру). Программа могла быть создана китайскоговорящим разработчиком, предполагают в ЛК, ссылаясь на собранные артефакты.
…После кибератаки на Dyn авторы разместили исходный код Mirai в публичном доступе. И здесь, два года спустя, начинается уже наша история. По данным экспертов, в настоящее время хакеры и IT-энтузиасты работают над тем, чтобы обеспечить кроссплатформенность инфицирования — независимо от ОС, установленной на компьютере или гаджете, она падет перед мощью Mirai. Основным костяком тела великого ботнета по-прежнему остаются умные устройства и компоненты умных домов — как правило, большая часть владельцев таких устройств в 2019 году не меняют пароли и не обновляют прошивку. А это сотни тысяч, в перспективе миллионы процессоров, чьи мощности можно использовать для сокрушительных кибератак.