הצעת הנחה מרובה רישיונות
אבטחת מחשבים Mirai Botnet Spinoffs משחררים את הגל העולמי של התקפות DDoS

Mirai Botnet Spinoffs משחררים את הגל העולמי של התקפות DDoS

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

שני ספינאופים של Mirai Botnet השיקו מסעות פרסום אגרסיביים מבוזרים של מניעת שירות (DDoS) ברחבי העולם, המכוונים לפרצות במכשירי האינטרנט של הדברים (IoT) ומנצלים אישורים חלשים. הקמפיינים מדגישים את האיום המתמשך שמציבה תוכנה זדונית מבוססת Mirai, שנותרה נשק סייבר חזק כמעט עשור לאחר הופעת הבכורה הידועה לשמצה שלו.

האבולוציה של מיראי: איום מתמשך על אבטחת IoT

הבוטנט Mirai כבר מזמן סמל לפגיעויות הגלומות במכשירי IoT. מאז שקוד המקור שלה הודלף ב-2016, Mirai יצרה השראה לאינספור גרסאות, שכל אחת מהן מתבססת על היכולות ההרסניות של התוכנה הזדונית המקורית. שני קמפיינים שונים הופיעו לאחרונה, הממנפים תוכנות זדוניות שמקורן במיראי כדי לסכן מכשירי IoT ולהשיק התקפות DDoS גלובליות.

קמפיין 1: ה-Murdoc Botnet

אחד הקמפיינים הפעילים, המכונה Murdoc Botnet, הוא אספקת תוכנות זדוניות של Mirai כדי לנצל נקודות תורפה ספציפיות במכשירי IoT כגון מצלמות Avtech ונתבי Huawei HG532. לדברי חוקרים ב-Qualys, ה-botnet משתמש ביתרונות ידועים, כולל:

  • CVE-2024-7029 : פגיעות עוקפת אימות במצלמות Avtech, המאפשרת לתוקפים להחדיר פקודות מרחוק.
  • CVE-2017-17215 : פגם בביצוע קוד מרחוק (RCE) בנתבים של Huawei.

רשת הבוטים של Murdoc החלה לפעול ביולי 2024 ומאז פגעה יותר מ-1,300 כתובות IP, בעיקר במלזיה, תאילנד, מקסיקו ואינדונזיה. חוקרים חשפו למעלה מ-100 ערכות שרתים נפרדות המקושרות ל-botnet, שכל אחת מהן מוטלת על ניהול מכשירים נגועים ותאום התקפות נוספות.

התוכנה הזדונית חודרת למכשירים דרך ELF וקובצי סקריפט של מעטפת, המשמשים לאחר מכן להתקנת גרסאות תוכנות זדוניות של Mirai. המכשירים הנגועים הללו מופעלים בנשק כדי להשתתף בהתקפות DDoS נרחבות, ויוצרות רשת בוטנט גלובלית אדירה.

מסע פרסום 2: תוכנה זדונית היברידית המכוונת לארגונים גלובליים

מסע פרסום שני, הממנף תוכנות זדוניות שנגזרות גם ממיראי וגם מ-Bashite, פנה לארגונים ברחבי צפון אמריקה, אירופה ואסיה. חוקרי Trend Micro זיהו התקפות DDoS בקנה מידה גדול שהשפיעו בתחילה על תאגידים ובנקים יפניים לפני שהתפשטו ברחבי העולם.

תקיפה וקטורים והתקנים ממוקדים

התוקפים התמקדו בניצול פגמי אבטחה ואישורים חלשים במכשירי IoT בשימוש נרחב, כגון:

  • נתבי TP-Link
  • נתבים של Zyxel
  • מצלמות IP של Hikvision

התוכנה הזדונית ניצלה פגיעויות של ביצוע קוד מרחוק וסיסמאות חלשות כדי לקבל גישה, ואז הורידה סקריפטים כדי לסכן את המכשירים. פעולה גלובלית זו השתמשה בשני סוגים עיקריים של התקפות DDoS:

  1. התקפות עומס יתר ברשת : הצפת רשתות בחבילות עצומות של נתונים כדי להציף את רוחב הפס.
  2. התקפות מיצוי משאבים : יצירת הפעלות רבות למיצוי משאבי השרת.

במקרים מסוימים, התוקפים שילבו את שתי השיטות כדי למקסם את הנזק, וגרמו לשיבושים משמעותיים באזורים המושפעים.

אמצעי הגנה: ממתן את ההשפעה של רשתות מיראי

ההתעוררות של קמפיינים מבוססי Mirai מדגישה את הצורך של ארגונים לחזק את ההגנה שלהם מפני התקפות DDoS. חוקרים ב-Qualys ו-Trend Micro סיפקו המלצות קריטיות להילחם באיומים אלו.

שיטות עבודה מומלצות כלליות

  1. מעקב אחר פעילות חשודה : עקוב באופן קבוע אחר תהליכים, אירועים ותעבורת רשת לאיתור סימני פשרה.
  2. הימנע ממקורות לא מהימנים : הימנע מביצוע סקריפטים של מעטפת או קבצים בינאריים ממקורות לא ידועים.
  3. הקשה על התקני IoT : ודא שהמכשירים מעודכנים בקושחה העדכנית ביותר ובעלי סיסמאות חזקות וייחודיות.

הפחתת התקפות עומס יתר ברשת

  • השתמש בחומת אש או בנתבים כדי לחסום כתובות IP זדוניות ולהגביל תעבורה לא רצויה.
  • שתף פעולה עם ספקי שירותי אינטרנט כדי לסנן תעבורת DDoS בקצה הרשת.
  • שדרג את חומרת הנתב כדי להתמודד עם נפחי מנות גבוהים יותר.

ממתן התקפות מיצוי משאבים

  • הטמע הגבלת קצב כדי להגביל את מספר הבקשות מכתובות IP ספציפיות.
  • השתמש בשירותי הגנת DDoS של צד שלישי כדי לסנן תעבורה זדונית.
  • ניטור רציף של חיבורים בזמן אמת וחסום כתובות IP עם פעילות מוגזמת.

המורשת המתמשכת של מיראי

מסעות הפרסום האחרונים של Mirai Botnet משמשים תזכורת מוחלטת לסיכונים הנשקפים ממכשירי IoT לא מוגנים. בעוד התוקפים ממשיכים לחדד את הטקטיקות שלהם ולמנף את פגיעויות ה-IoT, ארגונים חייבים להישאר ערניים, פרואקטיביים ומוכנים לצמצם את הסיכונים של התקפות DDoS. על ידי אימוץ אמצעי אבטחה חזקים וטיפוח שיתוף פעולה בין מחזיקי עניין באבטחת סייבר, אנו יכולים להפחית את ההשפעה של איומים מתמשכים אלה.

טוען...