Ботнет Mirai

В сентябре 2016 года создатели ботнета Mirai запустили масштабную DDoS-атаку на сайт известного журналиста и эксперта в области кибербезопасности Брайана Кребса. Через неделю ими же был опубликован исходный код вредоноса. Вполне возможно, что сделано это было с целью скрыть происхождение этой атаки. Код быстро распространился среди киберпреступников и был воспроизведен в других вариациях.

Считается, что именно этот вредонос стоит за масштабной атакой, которая привела к временной блокировке работы хостинг-провайдера и регистратора доменов Dyn в октябре 2016 года. Для этого ботнет Mirai использовал 100 тыс. взломанных IoT-устройств.

НазваниеMirai
СтатусПолуактивный
ОписаниеВредонос, используемый для выполнения DDoS-атак. Заражает умные устройства (IoT)

Что такое Mirai

Mirai — это вредоносное ПО, malware, который заражает IoT-устройства (умные бытовые приборы с доступом в интернет), работающие на процессорах ARC, и превращает их в сеть дистанционно управляемых ботов, которых также называют «зомби». Этот ботнет часто используется для запуска DDoS-атак.

Принцип работы

Mirai ищет подключенные к интернету IoT-устройства, работающие на процессоре ARC. Причем, в объектив попадают процессоры, на которых установлена урезанная версия ОС Linux. Вредонос взламывает доступ путем подбора имени пользователя и пароля, установленные по умолчанию (если те не были изменены).

IoT (сокр. от Internet of Things — интернет вещей) — термин, обозначающий умные устройства, которые могут подключаться к интернету. Этими устройствами могут быть радионяни, выключатели, чайники, бойлеры, пылесосы, медицинские устройства, роутеры, видеорегистраторы, камеры видеонаблюдения, детекторы дыма и т. д.

Кто создал ботнет Mirai

Парас Джа, 21 год, и Иосия Уайт, 20 лет, создали компанию Protraf Solutions, которая предлагала услуги по смягчению последствий DDoS-атак. Это был классический случай мошенничества: их компания предлагала услуги по защите от DDoS тем самым организациям, которые пострадали от атак созданного ими же ботнета.

Ущерб от DDoS-атак

Первая крупномасштабная атака ботнета Mirai была совершена в сентябре 2016 года против французской технологической компании OVH. Она достигла беспрецедентной скорости в 1 Тбит/с и, по оценкам экспертов, в ней было задействовано порядка 145 000 IoT-устройств. По ней можно сделать вывод, насколько масштабен этот ботнет. Вторая по величине атака достигла пика в 400 Гбит/с.

После атаки на OVH сайт Krebs on Security, владелец которого — журналист Брайан Кребс, в конце сентября 2016 года подвергся наплыву ботов со скоростью более 600 Гбит/с. Кребс, скорее всего, стал мишенью из-за своего направления журналистских расследований. Его объектом были преступления, связанные с кибербезопасностью, поэтому он представлял угрозу для авторов организованной бот-атаки.

30 сентября 2017 года один из авторов ботнета решил выложить исходный код на популярном хакерском форуме, одновременно объявив о своем предполагаемом уходе из хакерской деятельности. Есть несколько возможных причин, по которым автор решил разгласил код вредоноса: наиболее вероятная — желание скрыть свою личность и избежать обвинения в совершении преступлений.

Вскоре после публикации исходного кода ботнет Mirai начали использовать и другие злоумышленники в своих вредоносных и мошеннических целях. Из-за массовости эти атаки больше нельзя было вменять какому-то конкретному лицу и группе. Установить принадлежность вредоноса стало сложнее, а публикация кода увеличила количество проводимых DDoS-атак.

После этого другие киберпреступники принялись развивать и совершенствовать ботнет, внедряя новые функциональные возможности. Например, были добавлены модули, которые позволяют увеличить число заражений умных устройств или увеличивают скорость заражения.

Кроме того, были созданы новые сателиты Mirai, например Okiru, Satori, Masuta и PureMasuta. Успех этого ботнета зависит от уязвимостей и уровня безопасности продуктов и технологий IoT. Устройства, созданные для удобства, а не для обеспечения безопасности, усложняют усилия по противодействию вредоносному ПО из семейства Mirai.

Какая связь между Mirai и мошенничеством с кликами?

Реклама с оплатой за клик (PPC и CPC) представляет собой форму онлайн-рекламы, при которой компания платит сайту за размещение своих объявлений. Сумма оплаты зависит от количества переходов на сайт рекламодателя по указанной в объявлении ссылке.

Мошеннические манипуляции с данными о цене за клик называются кликфродом. Скликиваются объявления вручную (путем обмана реальных пользователей и использования различных мошеннических схем) и с помощью автоматизированного программного обеспечения или ботов. Благодаря таким обманным действиям владелец сайта может получать существенную прибыль, а рекламодатель — терять рекламный бюджет на оплату «пустышек».

Разработчики Mirai были осуждены именно за сдачу в аренду своего ботнета для DDoS-атак и мошенничества с кликами.

Почему вредоносный Mirai остается опасным?

Mirai мутирует. И несмотря на то, что его создатели были найдены и осуждены, исходный код вредоноса продолжает жить и приобретать новые формы. Например, PureMasuta может использовать ошибку HNAP в устройствах D-Link. OMG, другой его сателит, превращает устройства IoT в прокси-серверы, которые позволяют киберпреступникам оставаться анонимными.

А недавно был обнаружен еще один достаточно мощный ботнет, получивший различные прозвища, — IoTrooper и Reaper. Он способен взламывать IoT-устройства намного быстрее, чем Mirai. Reaper может заражать устройства, работающие не только на процессорах ARC, а также обладает большим контролем над своими ботами.

Как защитить рекламу от атаки ботнетов

С мошенниками борется общественность и крупные корпорации. Для блокировки вредоносных ботов, которые скликивают рекламу, разрабатываются специальные сервисы защиты. Один из таких — Botfaqtor.

Комплексная система кибербезопасности — эффективный автоматизированный способ блокировки ботов и скликивателей, который не только экономит бюджет, но и позволяет снизить цену клика.

Узнайте, кто на самом деле переходит по вашим объявлениям, получите отчет о качестве трафика и площадках, на которых размещается реклама. Сервис доступен для защиты рекламных кампаний в Яндекс Директ и Google Ads.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий