Jedan od načina na koji zlonamerni napadači pojačavaju svoje sajber operacije jeste korišćenje bot mreža.
Botnet predstavlja mrežu računara koji su inficirani malverom i kojima upravlja zlonamerni akter na daljinu. Taj akter, koji kontroliše grupu zaraženih mašina, naziva se bot pastir. Pojedinačni inficirani uređaji poznati su kao botovi.
Bot pastiri upravljaju i kontrolišu ove grupe inficiranih računara, omogućavajući im da sprovode sajber napade u znatno većim razmerama. Botneti su se u velikoj meri koristili za sprovođenje masovnih DDoS napada, fišing kampanja, slanje neželjene pošte i krađu podataka.
Primer zlonamernog softvera koji je postao ozloglašen zbog preuzimanja digitalnih uređaja za stvaranje veoma velikih bot mreža je malver Mirai Botnet. Mirai je botnet malver koji cilja i iskorišćava ranjivosti na uređajima iz domena Interneta stvari (IoT) koji koriste Linux operativni sistem.
Kada se zarazi, Mirai preuzima kontrolu nad IoT uređajem pretvarajući ga u bot kojim se daljinski upravlja, a koji se može koristiti kao deo botneta za pokretanje masivnih sajber napada. Mirai je napisan korišćenjem programskih jezika C i GO.
Ovaj malver je postao istaknut 2016. godine kada je korišćen u DDoS napadu na kompaniju DYN, koja se bavi pružanjem usluga sistema imena domena. Napad je sprečio korisnike interneta da pristupe mnogim popularnim sajtovima, uključujući Airbnb, Amazon, Twitter, Reddit, PayPal i Visa.
Mirai malver je takođe odgovoran za DDoS napade na veb sajt za sajber bezbednost Krebs on Security i francusku kompaniju za računarstvo u oblaku OVHCloud.
Kako je Mirai nastao
Malver Mirai su kreirali Paras Džha i Džosija Vajt, tada studenti u ranim dvadesetim godinama i osnivači kompanije ProTraf Solutions, koja je nudila usluge ublažavanja DDoS napada. Mirai malver je napisan korišćenjem programskih jezika C i Go.
Njihov prvobitni cilj za Mirai je bio da eliminišu konkurentske Minecraft servere korišćenjem DDoS napada, kako bi stekli više klijenata uklanjanjem konkurencije.
Kasnije su Mirai počeli da koriste za iznudu i reketiranje. Dvojac bi pokretao DDoS napade na kompanije, a zatim bi kontaktirao napadnute kompanije nudeći im svoje usluge za ublažavanje DDoS napada.
Mirai botnet je privukao pažnju vlasti i sajber bezbednosne zajednice nakon što je korišćen za obaranje veb stranice Krebs on Security i napad na OVH. Nakon što je Mirai dospeo u žižu javnosti, kreatori su procurili izvorni kod Mirai botneta na javnom hakerskom forumu.
Ovo je verovatno bio pokušaj da se prikriju njihovi tragovi i izbegne odgovornost za DDoS napade koji su izvršeni korišćenjem Mirai botneta. Izvorni kod za Mirai botnet su preuzeli i drugi sajber kriminalci, što je dovelo do stvaranja varijanti Mirai botneta kao što su Okiru, Masuta, Satori i PureMasuta.
Međutim, kreatore Mirai botneta je kasnije uhapsio FBI. Umesto zatvora, dobili su blaže kazne zbog saradnje sa FBI-jem u hvatanju drugih sajber kriminalaca i sprečavanju sajber napada.
Kako radi Mirai botnet
Napad Mirai botneta uključuje sledeće korake:
- Mirai botnet prvo skenira IP adrese na internetu da bi identifikovao IoT uređaje koji koriste Linux na ARC procesoru. Zatim identifikuje i cilja uređaje koji nisu zaštićeni lozinkom ili koriste podrazumevane akreditive.
- Nakon što identifikuje ranjive uređaje, Mirai pokušava sa raznim poznatim podrazumevanim akreditivima da dobije mrežni pristup uređaju. Ako uređaj koristi podrazumevane konfiguracije ili nije zaštićen lozinkom, Mirai se prijavljuje na uređaj i inficira ga.
- Mirai botnet zatim skenira uređaj da bi utvrdio da li je inficiran drugim zlonamernim softverom. Ukoliko jeste, uklanja sav drugi malver kako bi on bio jedini zlonamerni softver na uređaju, što mu daje veću kontrolu nad njim.
- Uređaj inficiran Mirai-em tada postaje deo Mirai botneta i može se daljinski kontrolisati sa centralnog servera. Takav uređaj čeka komande sa centralnog servera.
- Inficirani uređaji se zatim koriste za inficiranje drugih uređaja ili kao deo botneta za sprovođenje velikih DDoS napada na veb lokacije, servere, mreže ili druge resurse koji su dostupni na internetu.
Važno je napomenuti da je Mirai botnet imao definisane IP opsege koje nije ciljao ili inficirao. To uključuje privatne mreže i IP adrese dodeljene Ministarstvu odbrane Sjedinjenih Država i Poštanskoj službi Sjedinjenih Država.
Vrste uređaja koje cilja Mirai botnet
Primarni cilj Mirai botneta su IoT uređaji koji koriste ARC procesore. Prema Parasu Džhi, jednom od autora Mirai bota, većina IoT uređaja koji su inficirani i koje koristi Mirai botnet su bili ruteri.
Međutim, lista potencijalnih žrtava Mirai botneta uključuje i druge IoT uređaje koji koriste ARC procesore.
To mogu biti pametni kućni uređaji kao što su sigurnosne kamere, bebi monitori, termostati i pametni televizori, nosivi uređaji poput fitnes trekera i satova, i medicinski IoT uređaji kao što su monitori glukoze i insulinske pumpe. Industrijski IoT uređaji i medicinski IoT uređaji koji koriste ARC procesore takođe mogu biti žrtve Mirai botneta.
Kako otkriti infekciju Mirai botnetom
Mirai botnet je dizajniran da bude prikriven u napadu, pa stoga otkrivanje da je vaš IoT uređaj inficiran Mirai botnetom nije lak zadatak. Međutim, nije nemoguće otkriti ga. Potražite sledeće indikatore koji mogu signalizirati moguću infekciju Mirai botnetom na vašem IoT uređaju:
- Usporena internet konekcija – Mirai botnet može usporiti vaš internet jer se vaši IoT uređaji koriste za pokretanje DDoS napada.
- Neobičan mrežni saobraćaj – Ukoliko redovno pratite svoju mrežnu aktivnost, možda ćete primetiti nagli porast mrežnog saobraćaja ili slanje zahteva na nepoznate IP adrese.
- Smanjene performanse uređaja – Vaš IoT uređaj koji ne radi optimalno ili pokazuje neobično ponašanje, kao što je samo gašenje ili ponovno pokretanje, može biti znak moguće infekcije Mirai-em.
- Promene u konfiguracijama uređaja – Mirai botnet može izmeniti podešavanja vaših IoT uređaja ili podrazumevane konfiguracije kako bi olakšao buduće korišćenje i kontrolu uređaja. Ukoliko primetite promene u konfiguracijama vaših IoT uređaja, a vi niste odgovorni za njih, to može ukazivati na moguću infekciju Mirai botnetom.
Iako postoje znaci na koje možete obratiti pažnju kako biste znali da li je vaš uređaj inficiran, ponekad ih nije lako primetiti jer je Mirai botnet napravljen na način da ga je veoma teško otkriti. Zbog toga, najbolji način da se nosite sa tim je da sprečite Mirai botnet da inficira vaše IoT uređaje.
Međutim, ukoliko sumnjate da je otkriven inficiran IoT uređaj, isključite ga sa mreže i ponovo ga priključite tek nakon što je pretnja eliminisana.
Kako da zaštitite svoje uređaje od infekcije Mirai botnetom
Ključna strategija Mirai botneta u inficiranju IoT uređaja jeste provera mnoštva dobro poznatih podrazumevanih konfiguracija kako bi se utvrdilo da li korisnici i dalje koriste podrazumevane konfiguracije.
Ako je to slučaj, Mirai se prijavljuje i inficira uređaje. Stoga je važan korak u zaštiti vaših IoT uređaja od Mirai botneta izbegavanje korišćenja podrazumevanih korisničkih imena i lozinki.
Obavezno promenite svoje akreditive i koristite lozinke koje se ne mogu lako pogoditi. Možete čak koristiti i generator nasumičnih lozinki kako biste dobili jedinstvene lozinke koje nije lako pogoditi.
Drugi korak koji možete preduzeti je redovno ažuriranje firmvera vašeg uređaja i instaliranje sigurnosnih zakrpa čim se objave. Kompanije često objavljuju sigurnosne zakrpe u slučaju da se otkriju ranjivosti na njihovim uređajima.
Iz tog razloga, instaliranje sigurnosnih zakrpa čim se objave može vam pomoći da budete korak ispred napadača. Ukoliko vaš IoT uređaj ima daljinski pristup, razmislite o tome da ga onemogućite ukoliko vam ta funkcija nije potrebna.
Ostale mere koje možete preduzeti uključuju redovno praćenje mrežne aktivnosti i segmentiranje kućne mreže tako da IoT uređaji nisu povezani sa kritičnim mrežama u kući.
Zaključak
Iako su vlasti uhapsile kreatore Mirai botneta, rizik od infekcije Mirai botnetom i dalje postoji. Izvorni kod Mirai botneta je objavljen javno, što je dovelo do stvaranja smrtonosnih varijanti Mirai botneta, koje ciljaju IoT uređaje i imaju veću kontrolu nad uređajima.
Stoga, prilikom kupovine IoT uređaja, sigurnosne funkcije koje nudi proizvođač uređaja treba da budu prioritet. Kupujte IoT uređaje koji imaju sigurnosne funkcije koje sprečavaju moguće infekcije malverom.
Pored toga, izbegavajte korišćenje podrazumevanih konfiguracija na svojim uređajima i redovno ažurirajte firmver uređaja i instalirajte sve najnovije sigurnosne zakrpe čim se objave.
Takođe možete istražiti najbolje EDR alate za brzo otkrivanje i reagovanje na sajber napade.