Знижка на кілька ліцензій
Комп'ютерна безпека Додаткові результати ботнету Mirai викликають глобальну...

Додаткові результати ботнету Mirai викликають глобальну хвилю DDoS-атак

До Mura року в Комп'ютерна безпека році
Перекласти на:
Українська

Два підрозділи ботнету Mirai запустили агресивні кампанії розподіленої відмови в обслуговуванні (DDoS) по всьому світу, націлюючись на вразливості в пристроях Інтернету речей (IoT) і використовуючи слабкі облікові дані. Ці кампанії підкреслюють постійну загрозу, яку створює зловмисне програмне забезпечення на основі Mirai, яке залишається потужною кіберзброєю майже через десять років після свого сумнозвісного дебюту.

Еволюція Mirai: постійна загроза безпеці Інтернету речей

Ботнет Mirai вже давно є символом уразливостей, притаманних пристроям IoT. Після витоку вихідного коду в 2016 році Mirai створила незліченну кількість варіантів, кожен з яких базується на нищівних можливостях оригінального шкідливого програмного забезпечення. Нещодавно з’явилися дві різні кампанії, які використовують шкідливе програмне забезпечення, отримане від Mirai, для компрометації пристроїв IoT і запуску глобальних DDoS-атак.

Кампанія 1: Ботнет Мердока

Одна з активних кампаній, яка отримала назву Murdoc Botnet, розповсюджує зловмисне програмне забезпечення Mirai для використання певних уразливостей у пристроях IoT, таких як камери Avtech і маршрутизатори Huawei HG532. За словами дослідників Qualys, ботнет використовує відомі експлойти, зокрема:

  • CVE-2024-7029 : уразливість обходу автентифікації в камерах Avtech, що дозволяє зловмисникам вводити команди віддалено.
  • CVE-2017-17215 : недолік віддаленого виконання коду (RCE) у маршрутизаторах Huawei.

Ботнет Murdoc розпочав роботу в липні 2024 року і з тих пір скомпрометував понад 1300 IP-адрес, переважно в Малайзії, Таїланді, Мексиці та Індонезії. Дослідники виявили понад 100 окремих наборів серверів, пов’язаних із ботнетом, кожен із яких відповідає за керування зараженими пристроями та координацію подальших атак.

Зловмисне програмне забезпечення проникає на пристрої через ELF і файли сценаріїв оболонки, які потім використовуються для встановлення варіантів шкідливого програмного забезпечення Mirai. Ці інфіковані пристрої використовують для участі в масштабних DDoS-атаках, створюючи грізну глобальну мережу ботнетів.

Кампанія 2: гібридне шкідливе програмне забезпечення, націлене на глобальні організації

Друга кампанія, яка використовує зловмисне програмне забезпечення, отримане як від Mirai, так і від Bashlite, була спрямована на організації в Північній Америці, Європі та Азії. Дослідники Trend Micro виявили масштабні DDoS-атаки, які спочатку вплинули на японські корпорації та банки, перш ніж поширитися по всьому світу.

Вектори атак і цільові пристрої

Зловмисники зосередилися на використанні недоліків безпеки та слабких облікових даних у широко використовуваних пристроях IoT, таких як:

  • Маршрутизатори TP-Link
  • Роутери Zyxel
  • IP камери Hikvision

Зловмисне програмне забезпечення використовувало вразливості віддаленого виконання коду та слабкі паролі, щоб отримати доступ, а потім завантажувало сценарії, щоб скомпрометувати пристрої. Ця глобальна операція використовувала два основних типи DDoS-атак:

  1. Атаки перевантаження мережі : заповнення мереж великими пакетами даних для перевищення пропускної здатності.
  2. Атаки на виснаження ресурсів : створення численних сеансів для виснаження ресурсів сервера.

У деяких випадках зловмисники поєднували обидва методи, щоб максимізувати шкоду, викликаючи значні збої в уражених регіонах.

Заходи захисту: пом’якшення впливу ботнетів Mirai

Відродження кампаній на основі Mirai підкреслює потребу організацій у зміцненні захисту від DDoS-атак. Дослідники Qualys і Trend Micro надали важливі рекомендації щодо боротьби з цими загрозами.

Загальні передові практики

  1. Моніторинг підозрілої активності : регулярно відстежуйте процеси, події та мережевий трафік на наявність ознак компрометації.
  2. Уникайте ненадійних джерел : утримуйтеся від виконання сценаріїв оболонки або двійкових файлів невідомого походження.
  3. Зміцнення пристроїв Інтернету речей : переконайтеся, що пристрої оновлено до останньої версії прошивки та мають надійні унікальні паролі.

Пом'якшення атак перевантаження мережі

  • Використовуйте брандмауери або маршрутизатори для блокування шкідливих IP-адрес і обмеження небажаного трафіку.
  • Співпрацюйте з постачальниками послуг Інтернету, щоб фільтрувати трафік DDoS на межі мережі.
  • Оновіть апаратне забезпечення маршрутизатора для обробки більших обсягів пакетів.

Пом'якшення атак через виснаження ресурсів

  • Застосуйте обмеження швидкості, щоб обмежити кількість запитів із певних IP-адрес.
  • Використовуйте сторонні служби захисту від DDoS для фільтрації шкідливого трафіку.
  • Постійно відстежуйте з’єднання в режимі реального часу та блокуйте IP-адреси з надмірною активністю.

Постійна спадщина Mirai

Ці останні кампанії ботнету Mirai служать яскравим нагадуванням про ризики, пов’язані з незахищеними пристроями IoT. Оскільки зловмисники продовжують удосконалювати свою тактику та використовувати вразливості Інтернету речей, організації повинні залишатися пильними, проактивними та готовими зменшити ризики DDoS-атак. Застосовуючи надійні заходи безпеки та сприяючи співпраці між зацікавленими сторонами кібербезпеки, ми можемо зменшити вплив цих постійних загроз.

Завантаження...