Botnet Mirai

Wyobraźmy sobie armię zombie, niczym te ze srebrnego ekranu – napierające hordy, które mają jeden cel. To odniesienie do hollywoodzkich produkcji może pomóc zrozumieć rodzaj i skalę zagrożenia jaką jest botnet – armia komputerów i innej elektroniki zmienionej w zombie.

Pozostawiając magię kina, i wracając do realiów życia codziennego, należałoby cofnąć się do października 2016 roku, kiedy wskutek największego w historii ataku DDoS kolokwialnie mówiąc internet został wyłączony na całym wschodnim wybrzeżu USA.

GitHub, Twitter, Reddit, Netflix, Airbnb, CNN, Spotify i wiele innych przestały być osiągalne. Mocno oberwał Brian Krebs – znany dziennikarz koncentrujący się na bezpieczeństwem komputerowym. Według Akami (firmy, która świadczy usługę ochrony przed atakami typu DDoS), w jego stronę skierowany był ruch sięgający ok. 650 gigabitów na sekundę i który był prawie dwukrotnie większy niż dotychczas odnotowany przez tę firmę. Warto dodać, że nawet wspomniana połowa wystarczyła aby „położyć” większość serwisów internetowych. Natomiast OVH świadczące szeroki wachlarz usług internetowych mogło się pochwalić atakiem o sile 1 Tbps.

Uważa się, że kamery CCTV były główną rodziną urządzeń IoT wykorzystaną w ataku na OVH. Kamery nie były chronione przez firewall lub router za pomocą NAT, co pozwoliło na ich łatwe zhakowanie. Ponadto wiele urządzeń IoT korzysta z funkcji znanej jako Universal Plug and Play (UPnP), która otwiera port na routerze, aby umożliwić im dostęp z Internetu.

Mirai bo taką nazwę nosi sprawca całego zamieszania to malware dedykowany do atakowania urządzeń IoT – Internet of Things, i o ile w pierwszym kontakcie można posunąć się do myślenia na zasadzie „przecież mnie to nie dotyczy”, tak po chwili zastanowienia może się okazać, że to właśnie ten najzwyklejszy użytkownik jest najbardziej pożądanym celem. Nasz autonomiczny odkurzacz, telewizor, kamerka do pilnowania psa, żarówka, a nawet szczoteczka do zębów – każdy z tych niewinnych przedmiotów zainfekowany Mirai staje się gotowym do działania botem pod dowództwem cyberprzestępców.

Mirai – co tak właściwie się dzieje?

W pierwszej kolejności skanowany jest cały internet w poszukiwaniu konkretnych usług lub urządzeń konkretnego producenta. Następnie przy pomocy zdefiniowanych par „użytkownik:hasło” (oryginalnie bardzo niewielka baza bo ok. 60 takich par) próbuje uzyskać dostęp do urządzenia. Po pomyślnej infekcji, bot zaczyna szukać innych urządzeń w tej samej sieci, a następnie prowadzi siłowy atak w celu ich zainfekowania. Od teraz kiedy nasze AGD i RTV jest uzbrojone, wystarczy wskazanie celu z centrum sterowania, aby rozpocząć wyniszczający atak, zalewając np. adres popularnej witryny, niemożliwą do obsłużenia ilością zapytań.

Mirai – bardziej technicznie

    Malware składa się z 4 elementów:

  • centrum kontroli (C2 / C&C) zawierające bazę danych o wszystkich przejętych hostach,
  • odbiornik, który gromadzi wyniki działania każdego bota i przekazuje je komponentowi, który pobiera bota na podatne na ataki urządzenia,
  • komponent pobierający, który dostarcza plik binarny bota na podatne na ataki urządzenie (przy użyciu narzędzi wget i tftp – jeśli nie są one obecne w systemie, wykorzystuje swojego własnego „downloadera”),
  • bota, który po uruchomieniu na zainfekowanym urządzeniu łączy się z centrum kontroli, skanuje sieć w celu zidentyfikowania podatnych na ataki urządzeń i wysyła wyniki skanowania do komponentu Scan Receiver, aby na urządzenie został następnie pobrany kolejny szkodliwy kod.

Mirai jest wirusem samo propagującym się. Każde z zarażonych urządzeń działało jako skaner i próbowało się logować na losowe adresy IP, a informacja o przejętych hostach i pasujących do nich danych dostępowych była przekazywana do C&C.

Wirus zbudowany jest w taki sposób, aby mógł działać na różnych architekturach; x86, ARM, Sparc, PowerPC, Motorola, aby sprytnie pokryć urządzenia IoT. Co więcej, po infekcji bot jest w stanie uodpornić urządzenie na podobne ataki po to, aby wykluczyć konkurencję. Sam obraz wirusa jest mały, jednocześnie stosuje techniki utrudniające inżynierię wsteczną.

Analiza przeprowadzona przez firmę Symantec wykazała, że średnio, urządzenie IoT jest skanowane co dwie minuty, a do kompromitacji może dojść już minutę po podłączeniu do internetu.

Kto jest za to odpowiedzialny?

To 21-letni Paras Jha oraz 20-letni Josiah White – może wydawać się to szokujące, że dwie młode osoby doprowadziły do incydentu o takiej skali. Wydaje mi się, że sami autorzy mogli się tego nie spodziewać. Kiedy sprawy zaczęły nabierać tempa, a do gry wchodzą agenci FBI, zaczyna robić się nerwowo. Wtedy kompletny kod malwaru pojawia się na githubie. Od tamtego czasu każdy może pobrać ten kod i zrobić z nim na co ma tylko ochotę. Do publikacji doszło prawdopodobnie po to, aby odpowiedzialni za atak mogli się ukryć w gąszczu chętnych testować ten soft na własną rękę.

Jakie to niesie konsekwencje?

Z analiz wynika jednoznacznie, Mirai lub jego kolejne mutacje od czasu powstania, do dzisiaj są bardzo aktywne.

Jako ofiara działania bota nie ma się specjalnie czego obawiać: zwolnienie działania sprzętu lub zwiększone zużycie energii to jak na razie największe zagrożenia. Takie symptomy pozwalają przypuszczać, że zostaliśmy zainfekowani – ciężko będzie bowiem zainstalować program antywirusowy na odkurzaczu, czy pralce. Pozostaje nam jedynie zrobić reset do fabrycznych ustawień oraz zmiana domyślnych haseł.

Już teraz w internecie można znaleźć „komercyjne” oferty botnetów do wynajęcia, na YouTube są filmy pokazujące krok po kroku konfigurację botnetu.

Bardziej niepokojące może być jednak to, że liczba urządzeń, które podłączamy do internetu, a następnie zapominamy o ich istnieniu, stale rośnie i będzie rosła. Osobiście obawiam się, że Mirai mogło być tylko PoC’em a mając na uwadze dostępność kodu mogę tylko mnożyć pomysły, co jeszcze może się wydarzyć. Oprócz rządowych armii są jeszcze hacktywiści i „dzieciaki” żądne łatwego zarobku. Nie wiadomo, czy nie powstał kod, który czeka w uśpieniu na konkretną okoliczność, lub uzyskanie masy krytycznej, a wtedy tylko autor wie co może się wydarzyć.

Dodaj komentarz

0 komentarzy

Wyślij komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *