Монополія на DDoS: Два хакера створили ботнет з 1 млн пристроїв на базі Mirai



Минулого місяця були здійснені атаки на великі сайти на кшталт Twitter або Spotify, які тимчасово вивели їх з ладу. Для цього використовувався ботнет Mirai, що об'єднує 400-500 тисяч пристроїв інтернету речей. Тепер журналістам Motherboard стало відомо про те, що двоє хакерів зуміли захопити контроль над ботнетом і створити нову версію — вона об'єднує вже мільйон пристроїв. Його міць встигли випробувати на собі абоненти німецького провайдера Deutsche Telekom, мережа якого не працювала в минулі вихідні.

Полювання на Mirai
Журналістам вдалося поговорити з одним з двох цих таємничих хакерів — він використовує нікнейм BestBuy. В зашифрованому онлайн-чаті він розповів їм про те, що серед зломщиків розгорнулася справжня боротьба за контроль над Mirai. В його софті нещодавно була обнаружена вразливість. Її використання укупі зі швидкістю могли дозволити BestBuy і його партнеру під ніком Popopret захопити контроль над більшою частиною ботнету і доповнити його новими пристроями.

Раніше експерти Positive Technologies вивчили код ботнету Mirai — з'ясувалося, що він не був створений спеціально для пристроїв інтернету речей. Шкідливий софт шукає підключені до мережі пристрої з дефолтними логінами-паролями (admin:admin, root:password тощо). Це означає, що теоретично, до його складу можуть входити будь-які пристрої, включаючи домашні комп'ютери і сервери або роутери.

IoT-пристрої — зазвичай роутери — входять до складу ботнету Mirai до своєї перезавантаження — потім хробак стирається з їх пам'яті. Однак ботнет постійно сканує інтернет на предмет пошуку вразливих пристроїв, так що «вылечившееся» пристрій може швидко знову стати його частиною. Серед хакерів розгорнулася справжня гонка за те, щоб першими інфікувати якомога більше пристроїв.

Інформації про те, як творці нового Mirai встигають обігнати конкурентів немає. Однак вони заявили журналістам, що використовують власний ботнет для сканування потенційно вразливих пристроїв, у тому числі тих, що раніше теж були частиною ботнету.

«Чому б не змусити Mirai полювати на Mirai і поглинути оригінал», — говорить BestBuy.
Не тільки Mirai
Однак новий ботнет не тільки поглинув старі пристрої з Mirai і нові з дефолтними паролями. Його творці також використовують 0-day уразливості в прошивках IoT-пристроїв. Експерти Positive Technologies раніше прогнозировали швидку появу таких «комбінованих» ботнетів.

Боротьба з ними помітно ускладнюється — якщо для протистояння Mirai самому користувачеві кінцевого пристрій достатньо лише змінити логін і пароль для доступу до нього, то з уразливими гаджета він ніяк не зможе впоратися самостійно.

DDoS на 700 Гбіт/сек
Хакери BestBuy і Popopret почали рекламувати свої послуги вони пропонують доступ до своєї нової версії Mirai, рассылая спам-повідомлення через XMPP/Jabber,

image

За словами хакера, вони пропонують замовником кілька пакетів послуг. Більш дешевий коштує $2 000 — за ці гроші клієнти можуть орендувати від 20 000 до 25 000 вузлів ботнету для запуску часових DDoS-атак у період до двох тижнів з часом перерви між атаками в п'ятнадцять хвилин. За $15 000 або $20 000 замовники отримують можливість орендувати вже 600 000 ботів для запуску двогодинних атак з 30 або 15-хвилинними перервами. У другому випадку потужність атаки складе 700 Гбіт/с або більше.

Перспективи
Безпека IoT-пристроїв часто знаходиться на досить низькому рівні — це пояснюється тим, що вендори часто не зацікавлені у впровадженні додаткових заходів інформаційної безпеки. Вони рекламують простоту використання своєї продукції, а всі додаткові заходи ІБ накладають обмеження і вимагають витрат ресурсів.

Як сказано вище, захистити користувачів від більш просунутих ботнетів зможуть тільки розробники кінцевих пристроїв або провайдери, що надають їх (у разі роутерів). Постраждалий від атаки нової версії Mirai німецький провайдер Deutsche Telekom вже оголосив про те, що «перегляне ділові стосунки з постачальниками вразливих роутерів Speedport, компанією Arcadyan.

Підвищити рівень захищеності інтернету речей в кінцевому результаті можна буде з допомогою впровадження більш жорсткого контролю пристроїв з боку провайдерів з одного боку, і розробкою стандартів і регулюючої документації для IoT з іншого. Подібні заходи вже прийняті в багатьох країнах щодо забезпечення безпеки АСУ ТП. Перші кроки в цьому напрямку вже зроблені — наприклад, кілька IT-вендорів у вересні опублікували документ під назвою The Industrial Internet Security Framework (IISF) — у ньому пропонується вважати інтернет речей частиною «промислового інтернету».

Однак, поки до остаточного вирішення питання ще далеко, і хакери BestBuy і Popopret можуть отримати монополію на проведення великих DDoS-атак в мережі. Це досить сумний факт, однак самі злодії в ході розмови з Motherboard заявили про те, що у своїй діяльності буде керуватися не тільки прибутком, але й моральними принципами. Так BestBuy заявив, що вони не будуть дозволяти клієнтам атакувати IP-адреси компаній, що працюють з критичної інфраструктурою.

«Бізнес бізнесом, але всьому є межа. Деякі речі в інтернеті не потрібно атакувати».
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.