Cybersec NewsКибератакиНашите експертиПолезни съвети

Mukashi – проверете дали не сте част от най-новия ботнет

Или как ботмрежата Mirai се завърна с ново име – Mukashi и промени метода си на действие

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Накратко:

  • IoT остават уязвими на атаки най-вече заради неглижиране от страна на собствениците си и заради краткия период на поддръжка от производителите си
  • Заради това, ботмрежи с „умни“ устройства са в основата на едни от най-големите DDoS атаки в света
  • Един от водещите зловредни кодове, инфектиращи IoT устройства – Mirai – се завръща с ново име – Mukashi и променен подход на действие
  • Как да защитите IoT устройствата, които използвате: започнете със смяна на фабричните им потребителско име и парола

По материала работиха: Валентин Манев, Георги Павлов

Поне три ботнет оператора сформират нови “зомби” мрежи с уязвими IoT устройства. Те използват разновидност на небезизвестния Mirai, но този път под името Mukashi. Престъпниците са експлоатирали нови уязвимости във въпросните устройства цели 6 месеца преди вендорите да успеят да закърпят своите пропуски.

Рекордни DDoS атаки

Нека припомним какво знаем за Mirai botnet. Това е зловреден код, който придобива контрол върху уязвими “IoT” устройства (DVR, web камери и SOHO рутери). Целта е тези устройства да бъдат използвани в големи Distributed Denial of Service (DDoS) атаки.

Mirai придоби известност още с появата си на радара. Дебютът беше с най-масивната до този момент DDoS атака към блога на Krebs on Security. Впоследствие, в апогея му през 2016 г., ботмрежата успява успешно да парализира едни от най-големите интернет доставчици на услуги като OVH web hosting и Dyn DNS. Първите съобщиха, че атаките към тях  са били с обем над 1Tbps (терабита в секунда), генерирани от над 600 000 устройства). Повече за тази атака може да прочетете тук.

В оригиналния си вариант Mirai има един от най-елегантните принципи на работа:

  1. Престъпниците сканират интернет за IoT устройства с отворени портове на услуги за мениджмънт (telnet, ssh – 23/TCP, 22/TCP).
  2. След това зловредният код се опитва да се сдобие с административен достъп като използва списък от 64 потребителски имена и пароли, използвани по подразбиране или вградени от производителя. Ако не са сменени, Mirai получава достъпа до засегнатите устройства.
  3. В зависимост от производителя и модела на устройството, зловредният код инсталира специфични модули, които превръщат това устройство в “зомби” под пълният контрол на престъпниците.
  4. Всяко ново „зомбирано“ устройство повтаря стъпките от 1 до 3.

Най-новият наследник

Най-новият наследник на Mirai е Mukashi. Той има сходен принцип на действие, но се възползва от уязвимост (CVE-2020-9054) в 27 устройства, произведени от Zyxel, който има над 100 милиона работещи устройства по света.

На 24 февруари 2020 г. тайванският производител публикува ъпдейт за уязвимостта CVE-2020-9054. В последствие се оказа, че той не отстранява проблема при много остарели (End of Life) устройства, които вече не се поддържат от компанията. Съветът на Zyxel е тези устройства да не се свързват към интернет.

Друг производител на експлоатирани от Mukashi IoT устройства е LILIN. DVR и CCTV устройствата, произведени от компанията, имат стартирани NTP и FTP услуги с “hardcoded” потребител и парола: root/icatch99 и report/8Jg0SR8K50). Познато, нали?

Какво прави този вид ботмрежи специални?

Характерно за семейството на този вид зловредни кодове е сравнително лесното изпълнение и големият брой устройства, които инфектира. Не по-малко важен е и фактът, че оригиналният код за вируса е бил качен в публичното интернет пространство, където много не толкова напреднали хакери  могат да го изтеглят и мутират в различни разновидности, създавайки щамове като Mukashi botnet.

Борбата срещу botnet мрежите продължава

Microsoft обявиха, че на 10 март успешно са терминирали инфраструктурата на една от най-големите SPAM botnet мрежи – Necurs, инфектирала общо над 9 млн. компютъра в глобален мащаб.

Операцията е извършена успешно с помощта на международна полиция и 35 частни компании. Според статистиката, публикувана от изследователите, Индия, Индонезия, Турция, Виетнам, Мексико, Тайланд, Иран, Филипините и Бразилия са държавите с най-голям брой инфектирани машини от зловредния код.

В рамките на 58 дни, колкото е продължило разследването, Microsoft споделят, че са наблюдавали как машини, инфектирани с Necurs, изпращат общо над 3.8 милиона спам имейла на над 40.6 милиона потенциални жертви.

Какво можем да направим, за да се защитим?

 

  • Не използвайте креденшълите по подразбиране. Винаги променяйте паролите и имената на акаунтите по подразбиране на всичките си устройства (като телефони, рутери, смарт телевизори), за да ограничите възможността да станете част от проблема т.е. да станете част от ботмрежа.
  • Използвайте уникални и сложни (дълги и съдържащи различни по вид символи) пароли. По-голямата част от така наречените “хаквания” се дължат на човешка грешка, поради недоглеждане или поради слаби пароли.
  • Прилагайте ъпдейтите за вашите устройствата. Много от нас често забравят, че това е една от най-важните мерки, които може да предприемем срещу това да бъдем компрометирани. А поддръжката е една от ахилесовите пети на IoT устройствата – обикновено производителите им не ги поддържат твърде дълго и спират да запушват уязвимости за по-стари устройства.
  • Ограничете достъпа до устройствата си. Не е нужно целият свят да има достъп до вашия smart климатик или телевизор, нали?
Покажи още
Back to top button