Ang Mirai Botnet Spinoffs ay Naglalabas ng Global Wave ng DDoS Attacks

Dalawang Mirai botnet spinoff ang naglunsad ng mga agresibong distributed denial-of-service (DDoS) na kampanya sa buong mundo, na nagta-target ng mga kahinaan sa Internet of Things (IoT) na mga device at nagsasamantala sa mahihinang kredensyal. Binibigyang-diin ng mga kampanya ang walang hanggang banta na dulot ng malware na nakabatay sa Mirai, na nananatiling isang malakas na cyberweapon halos isang dekada pagkatapos ng kasumpa-sumpa nitong pasinaya.

Ang Ebolusyon ni Mirai: Isang Patuloy na Banta sa Seguridad ng IoT

Ang Mirai botnet ay matagal nang simbolo ng mga kahinaan na likas sa mga IoT device. Mula nang ma-leak ang source code nito noong 2016, nagbigay-inspirasyon ang Mirai sa hindi mabilang na mga variant, bawat isa ay nakabatay sa mapangwasak na kakayahan ng orihinal na malware. Dalawang natatanging kampanya ang lumitaw kamakailan, na gumagamit ng malware na nagmula sa Mirai upang ikompromiso ang mga IoT device at maglunsad ng mga pandaigdigang pag-atake ng DDoS.

Kampanya 1: Ang Murdoc Botnet

Ang isa sa mga aktibong kampanya, na tinawag na Murdoc Botnet, ay naghahatid ng Mirai malware upang pagsamantalahan ang mga partikular na kahinaan sa mga IoT device gaya ng mga Avtech camera at Huawei HG532 routers. Ayon sa mga mananaliksik sa Qualys, ang botnet ay gumagamit ng mga kilalang pagsasamantala, kabilang ang:

• CVE-2024-7029 : Isang authentication bypass vulnerability sa mga Avtech camera, na nagpapahintulot sa mga attacker na mag-inject ng mga command nang malayuan.
• CVE-2017-17215 : Isang depekto sa remote code execution (RCE) sa mga Huawei router.

Nagsimulang gumana ang Murdoc botnet noong Hulyo 2024 at mula noon ay nakompromiso ang mahigit 1,300 IP, pangunahin sa Malaysia, Thailand, Mexico, at Indonesia. Natuklasan ng mga mananaliksik ang higit sa 100 natatanging set ng server na naka-link sa botnet, ang bawat isa ay may tungkulin sa pamamahala ng mga nahawaang device at pag-coordinate ng mga karagdagang pag-atake.

Ang malware ay pumapasok sa mga device sa pamamagitan ng ELF at shell script file, na pagkatapos ay ginagamit upang mag-install ng mga variant ng Mirai malware. Ang mga nahawaang device na ito ay ginawang sandata upang lumahok sa malalawak na pag-atake ng DDoS, na lumilikha ng isang kakila-kilabot na pandaigdigang botnet network.

Campaign 2: Hybrid Malware Targeting Global Organizations

Ang pangalawang kampanya, na gumagamit ng malware na nagmula sa Mirai at Bashlite, ay nagta-target ng mga organisasyon sa buong North America, Europe, at Asia. Tinukoy ng mga mananaliksik ng Trend Micro ang malalaking pag-atake ng DDoS na unang nakaapekto sa mga korporasyon at bangko ng Japan bago kumalat sa buong mundo.

Mga Attack Vector at Mga Naka-target na Device

Nakatuon ang mga umaatake sa pagsasamantala sa mga bahid sa seguridad at mahihinang kredensyal sa malawakang ginagamit na mga IoT device, gaya ng:

• Mga router ng TP-Link
• Mga router ng Zyxel
• Mga IP camera ng Hikvision

Sinamantala ng malware ang mga kahinaan sa pagpapatupad ng malayuang code at mahihinang password upang makakuha ng access, pagkatapos ay nag-download ng mga script upang ikompromiso ang mga device. Ang pandaigdigang operasyong ito ay gumamit ng dalawang pangunahing uri ng pag-atake ng DDoS:

1. Network Overload Attacks : Binabaha ang mga network na may napakalaking packet ng data upang madaig ang bandwidth.
2. Mga Pag-atake sa Pagkaubos ng Mapagkukunan : Paglikha ng maraming session upang maubos ang mga mapagkukunan ng server.

Sa ilang mga kaso, pinagsama ng mga umaatake ang parehong mga paraan upang i-maximize ang pinsala, na nagdudulot ng mga makabuluhang pagkaantala sa mga apektadong rehiyon.

Mga Depensibong Panukala: Pagbawas sa Epekto ng Mirai Botnets

Ang muling pagkabuhay ng mga kampanyang nakabase sa Mirai ay nagpapakita ng pangangailangan para sa mga organisasyon na palakasin ang kanilang mga depensa laban sa mga pag-atake ng DDoS. Ang mga mananaliksik sa Qualys at Trend Micro ay nagbigay ng mga kritikal na rekomendasyon para labanan ang mga banta na ito.

Pangkalahatang Pinakamahuhusay na Kasanayan

1. Subaybayan para sa Kahina-hinalang Aktibidad : Regular na subaybayan ang mga proseso, kaganapan, at trapiko sa network para sa mga palatandaan ng kompromiso.
2. Iwasan ang Mga Hindi Pinagkakatiwalaang Pinagmumulan : Iwasang magsagawa ng mga script ng shell o binary mula sa hindi kilalang pinagmulan.
3. Patigasin ang Mga IoT Device : Tiyaking naa-update ang mga device gamit ang pinakabagong firmware at may malalakas at natatanging password.

Pagbabawas sa Mga Overload na Pag-atake sa Network

• Gumamit ng mga firewall o router upang harangan ang mga nakakahamak na IP address at paghigpitan ang hindi gustong trapiko.
• Makipagtulungan sa mga internet service provider upang i-filter ang trapiko ng DDoS sa gilid ng network.
• I-upgrade ang hardware ng router para mahawakan ang mas mataas na volume ng packet.

Pagbabawas ng Mga Pag-atake sa Pagkaubos ng Mapagkukunan

• Ipatupad ang paglilimita sa rate upang paghigpitan ang bilang ng mga kahilingan mula sa mga partikular na IP address.
• Gumamit ng mga serbisyo sa proteksyon ng DDoS ng third-party upang i-filter ang nakakahamak na trapiko.
• Patuloy na subaybayan ang mga koneksyon sa real-time at i-block ang mga IP na may labis na aktibidad.

Ang Patuloy na Pamana ni Mirai

Ang mga pinakabagong Mirai botnet campaign na ito ay nagsisilbing matinding paalala ng mga panganib na dulot ng mga hindi protektadong IoT device. Habang patuloy na pinipino ng mga umaatake ang kanilang mga taktika at ginagamit ang mga kahinaan sa IoT, dapat manatiling mapagbantay, proactive, at handa ang mga organisasyon na mabawasan ang mga panganib ng mga pag-atake ng DDoS. Sa pamamagitan ng pagpapatibay ng mga matatag na hakbang sa seguridad at pagpapatibay ng pakikipagtulungan sa pagitan ng mga stakeholder ng cybersecurity, maaari nating bawasan ang epekto ng mga patuloy na pagbabanta na ito.