Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Odłamy botnetu Mirai wyzwalają globalną falę ataków DDoS

Odłamy botnetu Mirai wyzwalają globalną falę ataków DDoS

Do Mura w Bezpieczeństwo komputerowe
Przetłumacz na:
Polski

Dwa botnety Mirai uruchomiły agresywne kampanie rozproszonego ataku typu „odmowa usługi” (DDoS) na całym świecie, atakując luki w zabezpieczeniach urządzeń Internetu rzeczy (IoT) i wykorzystując słabe dane uwierzytelniające. Kampanie te podkreślają trwałe zagrożenie ze strony złośliwego oprogramowania opartego na Mirai, które pozostaje potężną cyberbronią prawie dekadę po swoim niesławnym debiucie.

Ewolucja Mirai: Stałe zagrożenie dla bezpieczeństwa IoT

Botnet Mirai od dawna jest symbolem luk w zabezpieczeniach urządzeń IoT. Od czasu wycieku kodu źródłowego w 2016 r. Mirai zainspirował niezliczone warianty, z których każdy opierał się na niszczycielskich możliwościach oryginalnego złośliwego oprogramowania. Niedawno pojawiły się dwie odrębne kampanie wykorzystujące złośliwe oprogramowanie pochodzące z Mirai do kompromitowania urządzeń IoT i uruchamiania globalnych ataków DDoS.

Kampania 1: Botnet Murdoc

Jedna z aktywnych kampanii, nazwana Murdoc Botnet, dostarcza złośliwe oprogramowanie Mirai, aby wykorzystać określone luki w urządzeniach IoT, takich jak kamery Avtech i routery Huawei HG532. Według badaczy z Qualys, botnet wykorzystuje znane exploity, w tym:

  • CVE-2024-7029 : Luka umożliwiająca ominięcie uwierzytelniania w kamerach Avtech, umożliwiająca atakującym zdalne wprowadzanie poleceń.
  • CVE-2017-17215 : Luka umożliwiająca zdalne wykonanie kodu (RCE) w routerach Huawei.

Botnet Murdoc rozpoczął działalność w lipcu 2024 r. i od tego czasu naruszył ponad 1300 adresów IP, głównie w Malezji, Tajlandii, Meksyku i Indonezji. Badacze odkryli ponad 100 odrębnych zestawów serwerów powiązanych z botnetem, z których każdy miał za zadanie zarządzanie zainfekowanymi urządzeniami i koordynowanie dalszych ataków.

Malware infiltruje urządzenia za pośrednictwem plików ELF i skryptów powłoki, które są następnie używane do instalowania wariantów malware Mirai. Te zainfekowane urządzenia są uzbrajane w celu uczestniczenia w rozległych atakach DDoS, tworząc potężną globalną sieć botnetów.

Kampania 2: Hybrydowe złośliwe oprogramowanie atakujące organizacje globalne

Druga kampania, wykorzystująca złośliwe oprogramowanie pochodzące zarówno z Mirai, jak i Bashlite, miała na celu organizacje w Ameryce Północnej, Europie i Azji. Badacze Trend Micro zidentyfikowali ataki DDoS na dużą skalę, które początkowo dotknęły japońskie korporacje i banki, zanim rozprzestrzeniły się na cały świat.

Wektory ataków i urządzenia docelowe

Atakujący skupili się na wykorzystywaniu luk w zabezpieczeniach i słabych danych uwierzytelniających w powszechnie używanych urządzeniach IoT, takich jak:

  • Routery TP-Link
  • Routery Zyxel
  • Kamery IP Hikvision

Malware wykorzystywał luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu i słabe hasła, aby uzyskać dostęp, a następnie pobierał skrypty, aby naruszyć bezpieczeństwo urządzeń. Ta globalna operacja wykorzystywała dwa główne typy ataków DDoS:

  1. Ataki przeciążające sieć : zalewanie sieci ogromnymi pakietami danych w celu przeciążenia pasma.
  2. Ataki polegające na wyczerpaniu zasobów : tworzenie licznych sesji w celu wyczerpania zasobów serwera.

W niektórych przypadkach atakujący łączyli obie metody, aby zmaksymalizować szkody, powodując w ten sposób znaczne zakłócenia w dotkniętych regionach.

Środki obronne: łagodzenie wpływu botnetów Mirai

Odrodzenie się kampanii opartych na Mirai podkreśla potrzebę wzmocnienia przez organizacje obrony przed atakami DDoS. Badacze z Qualys i Trend Micro przedstawili kluczowe zalecenia dotyczące zwalczania tych zagrożeń.

Ogólne najlepsze praktyki

  1. Monitoruj podejrzaną aktywność : regularnie śledź procesy, zdarzenia i ruch sieciowy pod kątem oznak naruszenia bezpieczeństwa.
  2. Unikaj niezaufanych źródeł : Powstrzymaj się od uruchamiania skryptów powłoki lub plików binarnych z nieznanego źródła.
  3. Wzmocnij zabezpieczenia urządzeń IoT : upewnij się, że urządzenia są aktualizowane do najnowszej wersji oprogramowania sprzętowego i mają silne, unikalne hasła.

Łagodzenie ataków przeciążających sieć

  • Użyj zapór sieciowych lub routerów, aby zablokować złośliwe adresy IP i ograniczyć niechciany ruch.
  • Współpracuj z dostawcami usług internetowych w celu filtrowania ruchu DDoS na skraju sieci.
  • Zmodernizuj router, aby obsługiwał większą liczbę pakietów.

Łagodzenie ataków polegających na wyczerpaniu zasobów

  • Wprowadź ograniczenie przepustowości, aby ograniczyć liczbę żądań z określonych adresów IP.
  • Skorzystaj z usług ochrony przed atakami DDoS innych firm w celu filtrowania złośliwego ruchu.
  • Ciągle monitoruj połączenia w czasie rzeczywistym i blokuj adresy IP o nadmiernej aktywności.

Trwałe dziedzictwo Mirai

Te najnowsze kampanie botnetu Mirai stanowią surowe przypomnienie o ryzyku stwarzanym przez niezabezpieczone urządzenia IoT. Ponieważ atakujący nadal udoskonalają swoje taktyki i wykorzystują luki w zabezpieczeniach IoT, organizacje muszą zachować czujność, proaktywność i być przygotowane na ograniczanie ryzyka ataków DDoS. Przyjmując solidne środki bezpieczeństwa i wspierając współpracę między interesariuszami cyberbezpieczeństwa, możemy zmniejszyć wpływ tych uporczywych zagrożeń.

Ładowanie...