Скидка на мультилицензию
Компьютерная безопасность Побочные эффекты ботнета Mirai вызывают глобальную волну...

Побочные эффекты ботнета Mirai вызывают глобальную волну DDoS-атак

К Mura году в Компьютерная безопасность году
Перевести на:
Русский

Два ответвления ботнета Mirai запустили агрессивные кампании распределенного отказа в обслуживании (DDoS) по всему миру, нацеленные на уязвимости в устройствах Интернета вещей (IoT) и эксплуатирующие слабые учетные данные. Кампании подчеркивают постоянную угрозу, которую представляет вредоносное ПО на базе Mirai, которое остается мощным кибероружием почти десять лет после своего печально известного дебюта.

Эволюция Mirai: постоянная угроза безопасности Интернета вещей

Ботнет Mirai долгое время был символом уязвимостей, присущих устройствам IoT. С момента утечки исходного кода в 2016 году Mirai вдохновил бесчисленное множество вариантов, каждый из которых основывался на разрушительных возможностях оригинального вредоносного ПО. Недавно появились две отдельные кампании, использующие вредоносное ПО, полученное от Mirai, для взлома устройств IoT и запуска глобальных DDoS-атак.

Кампания 1: Ботнет Murdoc

Одна из активных кампаний, получившая название Murdoc Botnet, поставляет вредоносное ПО Mirai для эксплуатации определенных уязвимостей в устройствах IoT, таких как камеры Avtech и маршрутизаторы Huawei HG532. По словам исследователей из Qualys, ботнет использует известные эксплойты, в том числе:

  • CVE-2024-7029 : Уязвимость обхода аутентификации в камерах Avtech, позволяющая злоумышленникам удаленно вводить команды.
  • CVE-2017-17215 : уязвимость удаленного выполнения кода (RCE) в маршрутизаторах Huawei.

Ботнет Murdoc начал работу в июле 2024 года и с тех пор скомпрометировал более 1300 IP-адресов, в основном в Малайзии, Таиланде, Мексике и Индонезии. Исследователи обнаружили более 100 отдельных наборов серверов, связанных с ботнетом, каждый из которых отвечал за управление зараженными устройствами и координацию дальнейших атак.

Вредоносное ПО проникает в устройства через файлы ELF и скриптов оболочки, которые затем используются для установки вариантов вредоносного ПО Mirai. Эти зараженные устройства вооружаются для участия в масштабных DDoS-атаках, создавая грозную глобальную сеть ботнетов.

Кампания 2: Гибридное вредоносное ПО, нацеленное на глобальные организации

Вторая кампания, использующая вредоносное ПО, полученное как от Mirai, так и от Bashlite, нацелена на организации в Северной Америке, Европе и Азии. Исследователи Trend Micro выявили крупномасштабные DDoS-атаки, которые изначально затронули японские корпорации и банки, а затем распространились по всему миру.

Векторы атак и целевые устройства

Злоумышленники сосредоточились на эксплуатации уязвимостей безопасности и слабых учетных данных в широко используемых устройствах Интернета вещей, таких как:

  • Маршрутизаторы TP-Link
  • Маршрутизаторы Zyxel
  • IP-камеры Hikvision

Вредоносное ПО использовало уязвимости удаленного выполнения кода и слабые пароли для получения доступа, а затем загружало скрипты для компрометации устройств. Эта глобальная операция использовала два основных типа DDoS-атак:

  1. Атаки, вызывающие перегрузку сети : переполнение сетей огромными пакетами данных с целью перегрузки пропускной способности.
  2. Атаки на истощение ресурсов : создание многочисленных сеансов для истощения ресурсов сервера.

В некоторых случаях злоумышленники объединяли оба метода, чтобы нанести максимальный ущерб, вызывая значительные сбои в работе пострадавших регионов.

Защитные меры: смягчение последствий ботнетов Mirai

Возрождение кампаний на основе Mirai подчеркивает необходимость для организаций усилить защиту от DDoS-атак. Исследователи Qualys и Trend Micro предоставили критические рекомендации по борьбе с этими угрозами.

Общие рекомендации

  1. Мониторинг подозрительной активности : регулярно отслеживайте процессы, события и сетевой трафик на предмет признаков компрометации.
  2. Избегайте ненадежных источников : воздержитесь от выполнения сценариев оболочки или двоичных файлов из неизвестных источников.
  3. Защитите устройства Интернета вещей : убедитесь, что на устройствах установлена последняя версия прошивки и установлены надежные уникальные пароли.

Смягчение атак перегрузки сети

  • Используйте брандмауэры или маршрутизаторы для блокировки вредоносных IP-адресов и ограничения нежелательного трафика.
  • Сотрудничайте с интернет-провайдерами для фильтрации DDoS-трафика на границе сети.
  • Модернизируйте аппаратное обеспечение маршрутизатора для обработки больших объемов пакетов.

Смягчение атак, приводящих к истощению ресурсов

  • Реализуйте ограничение скорости, чтобы ограничить количество запросов с определенных IP-адресов.
  • Используйте сторонние сервисы защиты от DDoS-атак для фильтрации вредоносного трафика.
  • Постоянно отслеживайте соединения в режиме реального времени и блокируйте IP-адреса с чрезмерной активностью.

Неизменное наследие Мираи

Эти последние кампании ботнетов Mirai служат суровым напоминанием о рисках, которые представляют собой незащищенные устройства IoT. Поскольку злоумышленники продолжают совершенствовать свою тактику и использовать уязвимости IoT, организации должны оставаться бдительными, проактивными и готовыми к снижению рисков DDoS-атак. Принимая надежные меры безопасности и способствуя сотрудничеству между заинтересованными сторонами в сфере кибербезопасности, мы можем уменьшить влияние этих постоянных угроз.

Загрузка...