Mirai — хробак та ботнет, утворений зламаними (скомпрометованими) пристроями типу «інтернет речей» (відеопрогравачі, «розумні» вебкамери, тощо).
Тип | хробак, ботнет |
---|---|
Автор | "Anna-senpai" (інтернет псевдонім) |
Перший випуск | жовтень 2016 року |
Платформа | BusyBox |
Операційна система | на основі Linux |
Мова програмування | C[1] і Go[1] |
Доступні мови | C (хробак) та Go (сервер управління) |
Стан розробки | в активному застосуванні |
Ліцензія | GPL-v.3 |
Репозиторій | github.com/jgamblin/Mirai-Source-Code |
Вебсайт | github.com/jgamblin/Mirai-Source-Code |
Ботнет Mirai став можливим завдяки реалізації вразливості, яка полягала у використанні однакового, незмінного, встановленого виробником пароля для доступу до облікового запису адміністратора на «розумних» пристроях. Всього шкідливе ПЗ мало відомості про 61 різних комбінацій логін-пароль для отримання доступу до облікового запису методом перебору. Дослідження показали, що значна частина вразливих пристроїв була виготовлена з використанням складових виробництва фірми XiongMai Technologies з офісом в Ханчжоу, та фірми Dahua, Китай.
Історія
Огляд
Mirai не є першим хробаком та ботнетом для пристроїв типу «інтернет речей». Так, наприклад, в 2012 році був виявлений хробак Aidra, який спромігся вразити близько 30 тисячі пристроїв та був створений для організації розподілених атак на відмову в обслуговуванні (DDoS-атаки). В 2013 році вихідні коди хробака Aidra (LightAidra) були оприлюднені у вільному доступі.
Наприкінці листопада 2016 року пара хакерів стали пропонувати «поліпшений» та «розвинутіший» ботнет на основі Mirai в оренду за гроші. Згідно їх рекламі, вони додали можливість розповсюдження хробака через протокол SSH завдяки чому вдалось захопити близько 400 тисяч пристроїв. Серед всього іншого, новоявлений хробак атакував системи, вражені хробаком Qbot та латав їх аби убезпечити від нього.
Атака проти Брайана Кребса
У вересні 2016 року після публікації статті про угрупування, які продають послуги ботнетів для здійснення DDoS-атак, вебсайт журналіста Брайана Кребса (англ. Brian Krebs) сам став жертвою DDoS-атаки, трафік якої на піку сягнув 665 Гб/с, що робить її однією з найпотужніших відомих DDoS-атак. Оскільки хостер сайту відмовився надалі безоплатно надавати свої послуги, сайт довелось на деякий час закрити поки не був знайдений новий хостер. Атака була здійснена ботнетом з інфікованих «розумних» відео-камер (що є підмножиною інтернету речей). У жовтні того ж року зловмисники оприлюднили вихідні тексти використаного шкідливого ПЗ (відоме під назвою Mirai), чим створили ризики неконтрольованого відтворення атак іншими зловмисниками.
Дослідження показали, що станом на 23 вересня, коли атака сягнула піку інтенсивності, в інтернеті можна було знайти понад 560 000 пристроїв вразливих до подібного типу атак.
Атака проти Dyn DNS
В п'ятницю, 21 жовтня 2016 року сталась потужна розподілена атака на відмову в обслуговуванні проти Dyn DNS, оператора DNS в США. Атака відбувалась у дві хвилі, перша тривала з 11:10 UTC до 13:20 UTC, і друга в проміжку між 15:50 UTC та 17:00 UTC. Попри те, що інженерам вдалось оперативно вжити засобів для відбиття атаки, вона все ж таки позначилась на інтернет-користувачах. Наслідки атаки можна було помітити аж до приблизно 20:30 UTC того ж дня.
Обидві хвилі атакували сервери компанії, які знаходились в різних регіонах світу (від Азії й до Сполучених Штатів).
Атака була підсилена спровокованим нею потоком повторних запитів (англ. DNS retry) від мільйонів різних комп'ютерів з усього світу. Спровоковані запити через IP та UDP на порт 53 перевищували нормальний трафік у 40-50 крат (без врахування тих запитів, які не змогли дістатись серверів компанії внаслідок вжитих захисних заходів та перевантаження каналів зв'язку). Внаслідок атаки виникли проблеми із доступом до багатьох вебсайтів, зокрема: Twitter, (Etsy), Github, (Soundcloud), Spotify, (Heroku), та інші.
Проведене компанією розслідування показало, що кістяк атаки спирався на близько 100 тисяч пристроїв типу «інтернет речей» керованих варіантом шкідливого ПЗ Mirai.
Решта
На початку листопада 2016 року створений на основі Mirai ботнет (так званий Botnet 14) розпочав DDoS-атаку проти Ліберії. Країна отримала доступ до Інтернет завдяки єдиному оптоволоконному каналу ACE, прокладеному в 2011 році. Даний канал надає зв'язок для всього західного узбережжя Африки та має пропускну здатність до 5.1 ТБ/c. Нападникам вдалось тимчасово розірвати доступ цілої країни до Інтернету .
В жовтні 2017 року інженери компанії Check Point оприлюднили доповідь про виявленого ними хробака, що атакує пристрої класу «інтернет речей» та утворює на їх основі ботнет. Новий хробак отримав назву IoTroop або Reaper. На відміну від Mirai, новий хробак покладається на щонайменше 9 відомих вразливостей у пристроях різних виробників. За оцінкою дослідників, новий хробак вразив пристрої у понад 1 млн організацій по всьому світу.
Примітки
- https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
- https://github.com/jgamblin/Mirai-Source-Code/blob/master/LICENSE.md
- Steve Ragan (3 жовтня 2016). . CSO Online. Архів оригіналу за 7 жовтня 2016. Процитовано 28 жовтня 2016.
- Zach Wikholm (7 жовтня 2016). . Flashpoint. Архів оригіналу за 7 листопада 2016. Процитовано 28 жовтня 2016.
- Dan Goodin (20 березня 2013). . Risk Assessment. Ars Technica. Архів оригіналу за 11 травня 2013. Процитовано 9 листопада 2016.
- Muhammad Junaid Bohio (19 march 2015). . SANS Institute. Архів оригіналу за 2 вересня 2016. Процитовано 9 листопада 2016.
див. https://github.com/eurialo/lightaidra [ 27 березня 2017 у Wayback Machine.] - Catalin Cimpanu (24 листопада 2016). . Bleeping Computer. Архів оригіналу за 28 листопада 2016. Процитовано 28 листопада 2016.
- Brian Krebs (18 Jan 2017). . Krebs on Security. Архів оригіналу за 22 січня 2017. Процитовано 25 жовтня 2017.
- Catalin Cimpanu (23 вересня 2016). . Softpedia. Архів оригіналу за 14 жовтня 2016. Процитовано 28 жовтня 2016.
- Catalin Cimpanu (5 жовтня 2016). . Softpedia. Архів оригіналу за 6 жовтня 2016. Процитовано 28 жовтня 2016.
- Scott Hilton (26 жовтня 2016). . Архів оригіналу за жовтень 29, 2016. Процитовано жовтень 28, 2016.
- Brad Chacos (21 жовтня 2016). . PC World. Архів оригіналу за 21 жовтня 2016. Процитовано 28 жовтня 2016.
- Zack Whittaker for Zero Day (3 листопада 2016). . ZDNet. Архів оригіналу за 4 листопада 2016. Процитовано 4 листопада 2016.
The nation state has a single point of failure fiber, recently installed in 2011, and it could spell disaster for dozens of other countries.
- . Check Point. 19 жовтня 2017. Архів оригіналу за 25 жовтня 2017. Процитовано 25 жовтня 2017.
- Brian Krebs (23 OCT 2017). . Krebs on Security. Архів оригіналу за 25 жовтня 2017. Процитовано 25 жовтня 2017.
- Мир на пороге кибер-Армагеддона [ 1 листопада 2017 у Wayback Machine.], 26.10.2017
Див. також
Посилання
- Вихідний текст хробака Mirai [ 28 жовтня 2016 у Wayback Machine.]
- Watcher, Хакери використали регулятори тепла, холодильники і тостери для однієї з найбільших DDoS-атак [ 28 жовтня 2016 у Wayback Machine.]
- Brian Krebs, Who is Anna-Senpai, the Mirai Worm Author? [ 22 січня 2017 у Wayback Machine.]
Це незавершена стаття про Інтернет. Ви можете проєкту, виправивши або дописавши її. |
Це незавершена стаття про програмне забезпечення. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет