Оферта за отстъпка за множество лицензи
Компютърна сигурност Mirai Botnet Spinoffs отприщи глобална вълна от DDoS атаки

Mirai Botnet Spinoffs отприщи глобална вълна от DDoS атаки

До Mura през Компютърна сигурностг
Превод на:
български език

Две ботнет спинофи на Mirai стартираха агресивни разпределени кампании за отказ на услуга (DDoS) по целия свят, насочени към уязвимости в устройствата на Интернет на нещата (IoT) и експлоатиращи слаби идентификационни данни. Кампаниите подчертават трайната заплаха, представлявана от базиран на Mirai зловреден софтуер, който остава мощно кибероръжие почти десетилетие след скандалния си дебют.

Еволюцията на Mirai: постоянна заплаха за сигурността на IoT

Ботнетът Mirai отдавна е символ на уязвимостите, присъщи на IoT устройствата. Откакто изходният му код изтече през 2016 г., Mirai е вдъхновил безброй варианти, всеки от които се основава на опустошителните възможности на оригиналния зловреден софтуер. Наскоро се появиха две различни кампании, използващи произлизащ от Mirai зловреден софтуер за компрометиране на IoT устройства и стартиране на глобални DDoS атаки.

Кампания 1: Ботнетът на Мърдок

Една от активните кампании, наречена Murdoc Botnet, доставя зловреден софтуер Mirai за използване на специфични уязвимости в IoT устройства като камери Avtech и рутери Huawei HG532. Според изследователи от Qualys, ботнетът използва известни експлойти, включително:

  • CVE-2024-7029 : Уязвимост за заобикаляне на удостоверяването в камерите на Avtech, позволяваща на нападателите да инжектират команди от разстояние.
  • CVE-2017-17215 : Дефект при дистанционно изпълнение на код (RCE) в рутерите на Huawei.

Ботнетът на Мърдок започна работа през юли 2024 г. и оттогава е компрометирал над 1300 IP адреса, предимно в Малайзия, Тайланд, Мексико и Индонезия. Изследователите откриха над 100 отделни набора сървъри, свързани с ботнета, всеки от които има за задача да управлява заразени устройства и да координира по-нататъшни атаки.

Злонамереният софтуер прониква в устройства чрез ELF и shell скрипт файлове, които след това се използват за инсталиране на варианти на зловреден софтуер Mirai. Тези заразени устройства са въоръжени, за да участват в експанзивни DDoS атаки, създавайки страхотна глобална ботнет мрежа.

Кампания 2: Хибриден зловреден софтуер, насочен към глобални организации

Втора кампания, използваща злонамерен софтуер, извлечен от Mirai и Bashlite, е насочена към организации в Северна Америка, Европа и Азия. Изследователите на Trend Micro идентифицираха мащабни DDoS атаки, които първоначално засегнаха японски корпорации и банки, преди да се разпространят в световен мащаб.

Атакуващи вектори и насочени устройства

Нападателите се фокусираха върху използването на пропуски в сигурността и слаби идентификационни данни в широко използвани IoT устройства, като например:

  • TP-Link рутери
  • Zyxel рутери
  • IP камери Hikvision

Зловредният софтуер използва уязвимости при отдалечено изпълнение на код и слаби пароли, за да получи достъп, след което изтегли скриптове, за да компрометира устройствата. Тази глобална операция използва два основни типа DDoS атаки:

  1. Атаки за претоварване на мрежата : Наводняване на мрежи с масивни пакети данни, за да се претовари честотната лента.
  2. Атаки с изчерпване на ресурси : Създаване на множество сесии за изчерпване на ресурсите на сървъра.

В някои случаи нападателите комбинираха и двата метода, за да увеличат максимално щетите, причинявайки значителни смущения в засегнатите региони.

Защитни мерки: смекчаване на въздействието на ботнетите Mirai

Възраждането на базираните на Mirai кампании подчертава необходимостта организациите да укрепят защитата си срещу DDoS атаки. Изследователи от Qualys и Trend Micro са предоставили критични препоръки за борба с тези заплахи.

Общи най-добри практики

  1. Наблюдавайте за подозрителна дейност : Редовно проследявайте процеси, събития и мрежов трафик за признаци на компрометиране.
  2. Избягвайте ненадеждни източници : Въздържайте се от изпълнение на шел скриптове или двоични файлове от неизвестен произход.
  3. Укрепете IoT устройствата : Уверете се, че устройствата са актуализирани с най-новия фърмуер и имат силни, уникални пароли.

Намаляване на атаките при претоварване на мрежата

  • Използвайте защитни стени или рутери, за да блокирате злонамерени IP адреси и да ограничите нежелания трафик.
  • Сътрудничете с доставчиците на интернет услуги, за да филтрирате DDoS трафика на ръба на мрежата.
  • Надстройте хардуера на рутера, за да обработвате по-големи обеми пакети.

Смекчаване на атаките с изчерпване на ресурси

  • Внедрете ограничаване на скоростта, за да ограничите броя на заявките от конкретни IP адреси.
  • Използвайте услуги за защита от DDoS на трети страни, за да филтрирате злонамерен трафик.
  • Непрекъснато наблюдавайте връзките в реално време и блокирайте IP адреси с прекомерна активност.

Устойчивото наследство на Mirai

Тези най-нови ботнет кампании на Mirai служат като ярко напомняне за рисковете, породени от незащитени IoT устройства. Тъй като нападателите продължават да усъвършенстват своите тактики и да използват IoT уязвимостите, организациите трябва да останат бдителни, проактивни и готови да намалят рисковете от DDoS атаки. Чрез приемането на стабилни мерки за сигурност и насърчаването на сътрудничеството между заинтересованите страни в киберсигурността можем да намалим въздействието на тези постоянни заплахи.

Зареждане...