Cum au oprit camerele zombi giganți ca Netflix

Cum au oprit camerele zombi giganți ca Netflix

Cum au oprit camerele zombi giganți ca Netflix

  • acum o săptămână
  • postat de: NSHOST

Creat de Josiah White, Paras Jha și Dalton Norman, botnet-ul Mirai a fost inițial scris în C pentru roboți și Go pentru controlere, cu scopul inițial de a elimina serverele rivale Minecraft offline folosind atacuri distribuite de denial of service (DDoS). Rețeaua botnet Mirai s-a răspândit în scurt timp pentru a infecta mii de dispozitive Internet of Things (IoT) și a evoluat pentru a conduce atacuri complete, la scară largă. După ce a observat o creștere a infecțiilor, Mirai a atras atenția organizației nonprofit MalwareMustDie în august 2016, care a început apoi să cerceteze, să analizeze și să urmărească rețeaua botnet.

Mirai vizează compromiterea dispozitivelor de tip IoT (Internet of Things) ce rulează pe sisteme de operare Linux, transformându-le în sisteme controlate de la distanță, parte a unor rețele de tip botnet. Între dispozitivele vizate de această amenințare se regăsesc camere web de supraveghere, sisteme digitale de înregistrare video (DVR), routere WiFi sau alte tipuri de dispozitive conectate la Internet.

Atacuri DDoS

Primul atac Mirai la scară largă a fost în septembrie 2016 împotriva unei companii franceze de tehnologie, OVH. Atacul atinge un vârf fără precedent de 1 Tbps și se estimează că a folosit aproximativ 145.000 de dispozitive pentru amplificarea atacului. Al doilea cel mai mare atac atinge un vârf de aproximativ 400 Gbps. După atacul asupra OVH, Krebs on Security, creat de jurnalistul Brian Krebs, a fost inundat cu peste 600 GB de date la sfârșitul lunii septembrie 2016. 

Pe 30 septembrie 2017, unul dintre autorii rețelelor botnet a decis să lanseze codul sursă pe un forum de hackeri popular. La scurt timp, Mirai începe să fie folosit de mai mulți atacatori. Pe lângă faptul că identificarea atacatorilor a devenit mult mai dificilă, lansarea codului a permis creșterea numărului de atacuri DDoS efectuate.

De atunci, s-au adăugat componente noi și mai distructive, cu scopul de a ajunge la mai multe dispozitive pe de- o parte și de a crește viteza pe de alta. În plus, au fost create variante noi de Mirai care includ mai multe funcționalități, cum ar fi capacitatea de a ataca computere, precum și dispozitive IoT pentru a crește producția de date. Succesul acestui botnet și al variantelor sale se bazează pe securitatea slabă a produselor și tehnologiei IoT. 

Pe 21 octombrie 2016, un atac Mirai a vizat popularul furnizor de DNS DYN, ceea ce a împiedicat utilizatorii de internet să acceseze multe site-uri web populare, inclusiv AirBnB, Amazon, Github, HBO, Netflix, Paypal, Spotify, Reddit și Twitter, prin perturbarea serviciului de rezoluție a numelor DYN.

Pe 26 noiembrie 2016, unul dintre cei mai mari furnizori de internet german Deutsche Telekom a suferit o întrerupere masivă după ce 900.000 dintre routerele sale au fost compromise.

Cum funcționează Mirai

Botnetul Mirai exploatează vulnerabilitatea dispozitivelor Iot,  ale căror interfețele de administrare sunt accesibile din Internet fără o securizare corespunzătoare, utilizând configurările și credențialele implicite.

Mirai se propagă prin scanarea spațiului de adrese IP pentru identificarea adreselor IP utilizate de dispozitivele IoT și forțarea autentificării la acestea, replicându-se odată ce infectează și localizează un alt dispozitiv IoT vulnerabil. Propagarea se realizează prin utilizarea dispozitivelor IoT infectate pentru a scana internetul pentru a găsi ținte vulnerabile suplimentare. Dacă se găsește un dispozitiv adecvat, dispozitivul deja infectat raportează descoperirile către un server. Când serverul are lista de dispozitive vulnerabile, încarcă o sarcină utilă și infectează ținta.

Cum ne protejăm de Mirai

Atacurile DDoS sunt în general imposibil de evitat, mai ales în cazul celor de magnitudine semnificativă, precum cele asociate cu botnetul Mirai. Astfel, cei vizați de astfel de atacuri pot încerca atenuarea acestora cu suport din partea furnizorului de Internet și/sau prin utilizarea unor tehnologii anti-DDoS destul de costisitoare (în funcție de magnitudinea atacului), însă niciun mecanism și nicio tehnologie nu garantează oprirea unui astfel de atac.

Utilizatorii de dispozitive IoT conectate la Internet pot lua o serie de măsuri în vederea prevenirii compromiterii acestora, CERT-RO recomandând următoarele:

  • actualizarea permanentă a versiunilor de software instalate
  • schimbarea credențialelor implicite (utilizator, parolă) pentru administrarea lor
  • folosirea de soluții antivirus care să acopere toate dispozitivele
  • separarea rețelelor, astfel încât dispozitivele IoT să fie pe rețele diferite de sistemele vulnerabile
  • securizarea accesului prin activarea modulului de firewall sau limitarea numărului de tentative de autentificare nereușite permise
  • dezactivarea serviciilor care nu sunt necesare (SSH, HTTP, Telnet etc)
  • restricționarea accesului de la distanță
  • monitorizarea periodică a traficului generat de dispozitive

Vă încurajăm să investiți într-un plan de găzduire securizat și optim - alegând oricare dintre pachetele de hosting NSHOST web shared, VPS sau Cloud și să alocați timpul necesar unei politici de caching potrivite afacerii dvs pentru a asigura timpi optimi de încărcare a fiecărei pagini web.