Mirai (ботнет)

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Mirai
Тип хробак, ботнет
Автор(и) "Anna-senpai" (інтернет псевдонім)
Перший випуск жовтень 2016 року
Репозиторій github.com/jgamblin/Mirai-Source-Code
Платформа BusyBox
Операційна система на основі Linux
Написано на C[1] і Go[1]
Доступні мови C (хробак) та Go (сервер управління)
Стан розробки в активному застосуванні
Ліцензія GPL-v.3
github.com/jgamblin/Mirai-Source-Code

Mirai — хробак та ботнет утворений зламаними (скомпрометованими) пристроями типу «інтернет речей» (відеопрогравачі, «розумні» веб-камери, тощо).

Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього шкіливе ПЗ мало відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебору[3]. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай[4].

Історія[ред. | ред. код]

Огляд[ред. | ред. код]

Mirai не є першим хробаком та ботнетом для пристроїв типу «інтернет речей». Так, наприклад, в 2012 році був виявлений хробак Aidra, який спромігся вразити близько 30 тисячі пристроїв та був створений для організації розподілених атак на відмову в обслуговуванні (DDoS-атаки)[5]. В 2013 році вихідні коди хробака Aidra (LightAidra) були оприлюднені у вільному доступі[6].

Наприкінці листопада 2016 року пара хакерів стали пропонувати «поліпшений» та «розвинутіший» ботнет на основі Mirai в оренду за гроші. Згідно їх рекламі, вони додали можливість розповсюдження хробака через протокол SSH завдяки чому вдалось захопити близько 400 тисяч пристроїв[7]. Серед всього іншого, новоявлений хробак атакував системи, вражені хробаком Qbot та латав їх аби убезпечити від нього[8].

Атака проти Брайана Кребса[ред. | ред. код]

У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, веб сайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку сягнув 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (що є підмножиною інтернету речей). У жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками[9][10].

Дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак[4].

Атака проти Dyn DNS[ред. | ред. код]

В п'ятницю, 21 жовтня 2016 року сталась потужна розподілена атака на відмову в обслуговуванні проти Dyn DNS, оператора DNS в США. Атака відбувалась у дві хвилі, перша тривала з 11:10 UTC до 13:20 UTC, і друга в проміжку між 15:50 UTC та 17:00 UTC. Попри те, що інженерам вдалось оперативно вжити засобів для відбиття атаки, вона все ж таки позначилась на інтернет-користувачах. Наслідки атаки можна було помітити аж до приблизно 20:30 UTC того ж дня[11].

Обидві хвилі атакували сервери компанії, які знаходились в різних регіонах світу (від Азії й до Сполучених Штатів)[11].

Атака була підсилена спровокованим нею потоком повторних запитів (англ. DNS retry) від мільйонів різних комп'ютерів з усього світу. Спровоковані запити через IP та UDP на порт 53 перевищували нормальний трафік у 40-50 крат (без врахування тих запитів, які не змогли дістатись серверів компанії внаслідок вжитих захисних заходів та перевантаження каналів зв'язку)[11]. Внаслідок атаки виникли проблеми із доступом до багатьох веб-сайтів, зокрема: Twitter, Etsy, Github, Soundcloud, Spotify, Heroku, та інші[12].

Проведене компанією розслідування показало, що кістяк атаки спирався на близько 100 тисяч пристроїв типу «інтернет речей» керованих варіантом шкідливого ПЗ Mirai[11].

Решта[ред. | ред. код]

На початку листопада 2016 року створений на основі Mirai ботнет (так званий Botnet 14) розпочав DDoS-атаку проти Ліберії. Країна отримала доступ до Інтернет завдяки єдиному оптоволоконному каналу ACE, прокладеному в 2011 році. Даний канал надає зв'язок для всього західного узбережжя Африки та має пропускну здатність до 5.1 ТБ/c. Нападникам вдалось тимчасово розірвати доступ цілої країни до Інтернету[13] .

В жовтні 2017 року інженери компанії Check Point оприлюднили доповідь про виявленого ними хробака, що атакує пристрої класу «інтернет речей» та утворює на їх основі ботнет. Новий хробак отримав назву IoTroop або Reaper. На відміну від Mirai, новий хробак покладається на щонайменше 9 відомих вразливостей у пристроях різних виробників. За оцінкою дослідників, новий хробак вразив пристрої у понад 1 млн організацій по всьому світу[14][15][16].

Примітки[ред. | ред. код]

  1. а б https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
  2. https://github.com/jgamblin/Mirai-Source-Code/blob/master/LICENSE.md
  3. Steve Ragan (3 жовтня 2016). Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online. 
  4. а б Zach Wikholm (7 жовтня 2016). When Vulnerabilities Travel Downstream. Flashpoint. 
  5. Dan Goodin (March 20, 2013). Guerilla researcher created epic botnet to scan billions of IP addresses. Risk Assessment. Ars Technica. 
  6. Muhammad Junaid Bohio (19 march 2015). Analyzing a Backdoor/Bot for the MIPS Platform. SANS Institute. 
    див. https://github.com/eurialo/lightaidra
  7. Catalin Cimpanu (November 24, 2016). You Can Now Rent a Mirai Botnet of 400,000 Bots. Bleeping Computer. 
  8. Brian Krebs (18 Jan 2017). Who is Anna-Senpai, the Mirai Worm Author?. Krebs on Security. 
  9. Catalin Cimpanu (23 вересня 2016). Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia. 
  10. Catalin Cimpanu (5 жовтня 2016). Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia. 
  11. а б в г Scott Hilton (October 26, 2016). Dyn Analysis Summary Of Friday October 21 Attack. 
  12. Brad Chacos (21 жовтня 2016). Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline. PC World. 
  13. Zack Whittaker for Zero Day (November 3, 2016). Mirai botnet attackers are trying to knock an entire country offline. ZDNet. «The nation state has a single point of failure fiber, recently installed in 2011, and it could spell disaster for dozens of other countries.» 
  14. A New IoT Botnet Storm is Coming. Check Point. October 19, 2017. 
  15. Brian Krebs (23 OCT 2017). Reaper: Calm Before the IoT Security Storm?. Krebs on Security. 
  16. Мир на пороге кибер-Армагеддона, 26.10.2017

Див. також[ред. | ред. код]

Посилання[ред. | ред. код]