Ботнет Mirai вновь набирает в свою армию IoT-устройства

Ботнет Mirai, в своё время лишивший миллион человек в Европе доступа в Интернет, вновь вышел на авансцену. Малварь Интернета вещей, превращающая IoT-устройства в потенциальных участников DDoS-атак, смогла вновь заразить 100 тысяч устройств в течение всего пары дней.

Предыдущие массовые атаки

В сентябре 2016 года была зафиксирована рекордная DDoS-атака мощностью более терабита, проведенная 145 тысячами камер наблюдения. Ключевую роль сыграл именно Mirai. В течение нескольких дней разработчик ботнета выложил его исходный код в свободный доступ. После этого последовала новая волна атак на различные компании, в том числе Twitter и GitHub.

Новая версия Mirai

Сотрудники китайской компании Netlab 360 сообщили об обнаружении нового публично доступного варианта Mirai. Внесённые изменения позволяют малвари распространяться в сети устройств компании ZyXEL, доступ к которым может быть получен удалённо посредством протокола telnet с использованием стандартных учётных данных. Один из эксплойтов устройств был опубликован ещё 31 октября 2017 года.

В течение 60 часов, начиная с 22 ноября, новый штамм смог захватить почти 100 тысяч устройств. Практически все заражённые устройства использовали локальные IP-адреса Аргентины.

Причина массового заражения

Из описания уязвимости CVE-2016-10401 следует, что устройства ZyXEL по умолчанию используют один и тот же пароль суперпользователя. Это позволяет злоумышленникам получить root-права устройств, даже если они защищены паролем учётной записи, отличной от root. Эксплойт, опубликованный 31 октября, сначала регистрируется как пользователь telnet, а затем просто повышает привилегии с использованием пароля суперпользователя.

Распространение остановлено

К счастью, профессионалам вовремя удалось остановить распространение заражения устройств. Они воспользовались так называемым процессом sinkhole, когда весь трафик от заражённых машин или IoT-устройств перенаправляется на исследовательскую машину для сбора данных обо всех участниках ботнета.

Нет повода для радости

Но вряд ли есть основания для оптимизма, по крайней мере, по двум причинам. Во-первых, пока эти устройства не будут защищены должным образом, они останутся восприимчивыми к обновлённым версиям Mirai и могут снова быть захвачены. Вторая и более важная причина для беспокойства — инцидент подчёркивает огромный неиспользованный деструктивный потенциал Mirai и других IoT-ботнетов. Даже несмотря на предпринимаемые шаги по противодействию ботнетам, они раз за разом выходят победителями и заражают всё больше устройств, каждый раз используя новые дыры в системах безопасности Интернета вещей.