Mirai (от японского слова «будущее», 未来) — это вредоносное ПО , которое превращает сетевые устройства под управлением Linux в дистанционно управляемых ботов , которые можно использовать как часть ботнета при крупномасштабных сетевых атаках. В первую очередь он нацелен на потребительские онлайн-устройства, такие как IP-камеры и домашние маршрутизаторы . [1] Ботнет Mirai был впервые обнаружен в августе 2016 года [2] MalwareMustDie , [3] белой исследовательской группой по вредоносному ПО, и использовался в некоторых из крупнейших и наиболее разрушительных распределенных атак типа «отказ в обслуживании» (DDoS) , в том числе атака 20 сентября 2016 года [4] на сайт журналиста по компьютерной безопасности Брайана Кребса , атака на французский веб-хостинг OVH , [5] и кибератака Dyn в октябре 2016 года . [6] [7] Согласно журналу чата между Анной-семпай (автором вредоносного ПО) и Робертом Коэльо, Мирай была названа в честь аниме- сериала 2011 года «Мирай Никки» . [8]
Программное обеспечение изначально использовалось создателями для DDoS -серверов Minecraft и компаниями, предлагающими DDoS-защиту для серверов Minecraft , а авторы использовали Mirai для рэкета . [9] Исходный код Mirai впоследствии был опубликован на Hack Forums как открытый исходный код . [10] После публикации исходного кода эти методы были адаптированы для других вредоносных проектов. [11] [12]
Устройства, зараженные Mirai, постоянно сканируют Интернет на предмет IP-адресов устройств Интернета вещей (IoT). Mirai включает таблицу диапазонов IP-адресов, которые он не заразит, включая частные сети и адреса, выделенные Почтовой службе США и Министерству обороны . [13]
Затем Mirai идентифицирует уязвимые устройства IoT, используя таблицу, содержащую более 60 распространенных заводских имен пользователей и паролей, и входит в них, чтобы заразить их вредоносным ПО Mirai. [5] [14] [15] Зараженные устройства продолжат работать нормально, за исключением периодической медлительности, [14] и повышенного использования полосы пропускания . Устройство остается зараженным до тех пор, пока оно не будет перезагрузлено , что может включать простое выключение устройства и его повторное включение после небольшого ожидания. После перезагрузки, если пароль для входа не будет изменен немедленно, устройство будет повторно заражено в течение нескольких минут. [14] При заражении Mirai определит любое «конкурирующее» вредоносное ПО, удалит его из памяти и заблокирует порты удаленного администрирования. [16]
Устройства IoT-жертвы идентифицируются путем «сначала входа в фазу быстрого сканирования, во время которой они асинхронно и «без сохранения состояния» отправляют зонды TCP SYN на псевдослучайные адреса IPv4, исключая те, которые находятся в жестко закодированном черном списке IP, на TCP-портах 23 и 2323 Telnet ». [17] Если устройство Интернета вещей отвечает на запрос, атака переходит в фазу грубого входа в систему. На этом этапе злоумышленник пытается установить соединение telnet, используя заранее определенные пары имени пользователя и пароля из списка учетных данных. Большинство этих учетных записей представляют собой имена пользователей и пароли по умолчанию, предоставленные поставщиком Интернета вещей. Если устройство IoT разрешает доступ через Telnet, IP-адрес жертвы вместе с успешно использованными учетными данными отправляется на сервер сбора данных.
Существует большое количество устройств Интернета вещей, которые используют настройки по умолчанию, что делает их уязвимыми для заражения. После заражения устройство будет отслеживать сервер управления и контроля , который указывает цель атаки. [14] Причиной использования большого количества устройств IoT является обход некоторого анти-DoS-программного обеспечения , которое отслеживает IP-адрес входящих запросов и фильтрует или устанавливает блокировку, если оно обнаруживает аномальный шаблон трафика, например, если слишком много запросов поступает с определенного IP-адреса. Другие причины включают в себя возможность использовать большую полосу пропускания, чем преступник может собрать в одиночку, и избежать отслеживания.
Угроза Mirai как устройствам Интернета вещей (IoT ) не была остановлена после ареста участников . Некоторые полагают, что другие злоумышленники используют исходный код вредоносного ПО Mirai на GitHub для развития Mirai в новые варианты . Они предполагают, что цель состоит в том, чтобы расширить свой ботнет -узел до большего количества устройств IoT. Подробности недавнего прогресса этих вариантов перечислены в следующих параграфах.
12 декабря 2017 года исследователи обнаружили вариант Mirai, использующий уязвимость нулевого дня в маршрутизаторах Huawei HG532 для ускорения заражения ботнетами Mirai , [18] реализовав два известных эксплойта, связанных с SOAP, в веб-интерфейсе маршрутизаторов: CVE-2014–8361 и CVE-2017. –17215. Эта версия Мирай называется «Сатори».
14 января 2018 года был обнаружен новый вариант Mirai, получивший название «Okiru», что по-японски означает «вставать», уже нацеленный на популярные встроенные процессоры, такие как ARM, MIPS, x86, PowerPC [19] и другие, предназначенные для устройств Linux на базе процессоров ARC . [20] впервые. Процессор Argonaut RISC Core (сокращенно: процессоры ARC ) — второй по популярности встроенный 32-разрядный процессор, поставляемый в более чем 1,5 миллиарда продуктов в год, включая настольные компьютеры, серверы, радиоприемники, камеры, мобильные устройства, счетчики коммунальных услуг, телевизоры, флэш-память. приводы, автомобили, сетевые устройства (умные концентраторы, ТВ-модемы, маршрутизаторы, Wi-Fi) и Интернет вещей. Лишь относительно небольшое количество устройств на базе ARC работают под управлением Linux и поэтому подвержены воздействию Mirai.
18 января 2018 года сообщалось, что преемник Mirai предназначен для перехвата операций по добыче криптовалюты . [21]
26 января 2018 года было сообщено о двух аналогичных вариантах ботнетов Mirai, более модифицированная версия которых использует эксплойт маршрутизатора EDB 38722 D-Link для привлечения дополнительных уязвимых устройств IoT. Уязвимость в протоколе администрирования домашней сети (HNAP) маршрутизатора используется для создания вредоносного запроса к эксплуатируемым маршрутизаторам, которые могут обходить аутентификацию, чтобы затем вызвать произвольное удаленное выполнение кода. Менее модифицированная версия Мирай называется «Масута» (от японской транслитерации слова «Мастер»), а более модифицированная версия называется «ЧистаяМасута». [22]
В марте 2018 года появился новый вариант Mirai, получивший название «OMG», с добавленными конфигурациями для нацеливания на уязвимые устройства IoT и превращения их в прокси-серверы. В код Mirai были добавлены новые правила брандмауэра, которые позволяют трафику проходить через сгенерированные порты HTTP и SOCKS. Как только эти порты будут открыты для трафика, OMG устанавливает 3proxy — программное обеспечение с открытым исходным кодом, доступное на российском веб-сайте. [23]
В период с мая по июнь 2018 года появился еще один вариант Mirai, получивший название «Wicked», с дополнительными конфигурациями для борьбы как минимум с тремя дополнительными эксплойтами, включая те, которые затрагивают маршрутизаторы Netgear и видеорегистраторы видеонаблюдения. Wicked сканирует порты 8080, 8443, 80 и 81 и пытается обнаружить уязвимые, неисправленные устройства IoT, работающие на этих портах. Исследователи подозревают, что один и тот же автор создал ботнеты Wicked, Sora, Owari и Omni. [24] [25]
В начале июля 2018 года сообщалось, что было обнаружено по меньшей мере тринадцать версий вредоносного ПО Mirai, активно заражающих Интернет вещей Linux (IoT) в Интернете, и три из них были разработаны для устранения конкретных уязвимостей с использованием доказательства концепции эксплойта без запуска грубого подхода. -принудительная атака на аутентификацию учетных данных по умолчанию. [26] В том же месяце был опубликован отчет о кампании заражения вредоносным ПО Mirai на устройства Android через Android Debug Bridge по TCP/5555, дополнительной функции операционной системы Android, хотя было обнаружено, что эта функция, по-видимому, включено на некоторых телефонах Android. [27]
В конце 2018 года вариант Mirai, получивший название «Miori», начал распространяться через уязвимость удаленного выполнения кода в среде ThinkPHP, затрагивая версии с 5.0.23 по 5.1.31. Эта уязвимость постоянно используется более развитыми вариантами Mirai, получившими название «Hakai» и «Yowai» в январе 2019 года, а также вариантом «SpeakUp» в феврале 2019 года. [28]
Mirai использовался вместе с BASHLITE [ 29] в DDoS-атаке 20 сентября 2016 года на сайт Krebs on Security , скорость которой достигла 620 Гбит/с. [30] Ars Technica также сообщила об атаке со скоростью 1 Тбит/с на французский веб-хостинг OVH . [5]
21 октября 2016 года произошло несколько крупных DDoS-атак на службы DNS поставщика услуг DNS Dyn с использованием вредоносного ПО Mirai, установленного на большом количестве устройств Интернета вещей , многие из которых все еще использовали свои имена пользователей и пароли по умолчанию. [31] Эти атаки привели к недоступности нескольких громких веб-сайтов, включая GitHub , Twitter , Reddit , Netflix , Airbnb и многих других. [32] О том, что атака Dyn была связана с ботнетом Mirai, первоначально сообщила компания Level 3 Communications. [29] [33]
Позже выяснилось, что Mirai использовался во время DDoS-атак на Университет Рутгерса в 2014–2016 годах, в результате которых преподаватели и студенты кампуса не могли получить доступ к внешнему Интернету в течение нескольких дней. Кроме того, из-за сбоя центральной службы аутентификации университета регистрация на курсы и другие услуги стали недоступными в критические периоды академического семестра. Сообщается, что в ответ на эти атаки университет потратил 300 000 долларов на консультации и увеличил бюджет университета на кибербезопасность на 1 миллион долларов. Университет назвал нападения одной из причин повышения платы за обучение в 2015–2016 учебном году. [34] Человек под псевдонимом «exfocus» взял на себя ответственность за атаки, заявив в Reddit AMA в субреддите /r/Rutgers , что пользователь был студентом школы, а DDoS-атаки были мотивированы недовольством университетским автобусом . система . Позже тот же пользователь заявил в интервью блоггеру из Нью-Джерси, что они солгали о своей связи с университетом и что атаки финансировались анонимным клиентом. Исследователь безопасности Брайан Кребс позже заявил, что пользователь действительно был студентом Университета Рутгерса и что последнее интервью было дано в попытке отвлечь следователей. [8]
Сотрудники Deep Learning Security наблюдали устойчивый рост ботнетов Mirai до и после атаки 21 октября. [35]
Mirai также использовался при атаке на интернет-инфраструктуру Либерии в ноябре 2016 года. [ 36] [37] [38] По словам эксперта по компьютерной безопасности Кевина Бомонта, атака, судя по всему, исходила от злоумышленника, который также атаковал Dyn. [36]
Его DDoS-атаки также были заметны в Бразилии, Тайване, Коста-Рике и Индии. [39]
В конце ноября 2016 года около 900 000 маршрутизаторов Deutsche Telekom производства Arcadyan вышли из строя из-за неудачных попыток эксплуатации TR-064 вариантом Mirai, что привело к проблемам с подключением к Интернету для пользователей этих устройств. [40] [41] Хотя TalkTalk позже исправляла свои маршрутизаторы, в маршрутизаторах TalkTalk был обнаружен новый вариант Mirai. [42]
По данным BBC , британец, подозреваемый в причастности к нападению, был арестован в аэропорту Лутона . [43]
17 января 2017 года журналист по компьютерной безопасности Брайан Кребс опубликовал в своем блоге статью «Кребс о безопасности», в которой раскрыл имя человека, который, по его мнению, написал вредоносное ПО. Кребс заявил, что вероятная реальная личность Анны-семпая (названной в честь Анны Нисикиномии, персонажа из Симонеты ), автора Mirai, на самом деле была американцем индийского происхождения Парас Джа, владельцем компании ProTraf Solutions, предоставляющей услуги по предотвращению DDoS-атак. студент Рутгерского университета . В обновлении оригинальной статьи Парас Джа ответил Кребсу и отрицал, что написал Мирай. [8] Сообщается, что ФБР допросило Джа о его причастности к кибератаке на Dyn в октябре 2016 года . [44] 13 декабря 2017 г. Парас Джа, Джозайя Уайт и Далтон Норман признали себя виновными в преступлениях, связанных с ботнетом Mirai. [45] Эта троица помогала правительству в других расследованиях в области кибербезопасности и была приговорена к испытательному сроку и общественным работам без тюремного заключения. [46]
29-летний Дэниел Кэй, также известный под псевдонимами «BestBuy», «Попопрет» или «Человек-паук», был обвинен в «использовании зараженной сети компьютеров, известной как ботнет Mirai, для атаки и шантажа банков Lloyds Banking Group и Barclays », согласно сообщению. в НКА. Согласно тому же отчету, он был экстрадирован из Германии в Великобританию. Кэй также признал в суде себя виновным в захвате более 900 000 маршрутизаторов сети Deutsche Telekom. [47] [48]
Позже исследователи указали на имя «Нексус Зета» как на автора новых вариантов Мирай (полученных как Окиру, Сатори, Масута и ПуреМасута), [49] [50] [22] , а 21 августа 2018 г. Американское большое жюри предъявило обвинение 20-летнему Кеннету Каррину Шучману, также известному как Nexus Zeta, в умышленной передаче программы, информации, кода и команд и в результате такого поведения в умышленном нанесении без разрешения ущерба защищенным компьютерам, говорится в предъявленном обвинительном заключении. в окружном суде США в Анкоридже , [51] [52] с последующим арестом и судом над подозреваемым. [53]
Альбом американского электронного музыканта и композитора Джеймса Ферраро 2018 года Four Pieces for Mirai ссылается на Mirai в своем продолжающемся повествовании.