Co to jest Mirai?
Mirai (z japońskiego oznacza „przyszłość”) to malware, który zmienia działające w sieci urządzenia z systemem Linux w sieć botów, wykorzystywaną w atakach na ogromną skalę. Malware został odkryty w sierpniu 2016 roku i został wykorzystany do największych w historii ataków DDoS, między innymi na OVH, a także Dyn.
Początki
Oprogramowanie zostało pierwotnie użyte do przeprowadzenia ataków DDoS na serwery Minecraft oraz firmy oferujące ochronę dla serwerów Minecraft. Twórcą kodu Mirai był 21-letni Paras Jha oraz 20-letni Josiah White ukrywający się pod nickiem Anna-senpai. Nazwa malware’a została zaczerpnięta z japońskiego serialu animowanego Mirai Nikki.
Działanie
Urządzenia zainfekowane przez Mirai nieustannie skanują internet w poszukiwaniu adresu IP urządzeń IoT.
Następnie Mirai identyfikuje podatnena ataki urządzenia IoT zapomocą tabeli z ponad 60 typowymi loginami i hasłami oraz loguje się do nich, aby je zainfekować. Zainfekowane urządzenia będą nadal działać normalnie, z wyjątkiem okazjonalnego spowolnienia i większego wykorzystania transferu.
Atak na Dyn
W październiku 2016 na amerykańskiego dostawcę serwerów DNS została skierowana seria ataków DDoS, do których wykorzystano sieć botów Mirai. Był to najpoważniejszy atak DDoSw historii i spowodował niedostępność wielu serwisów takich jak: PayPal, Netflix, Spotify, Reddit czy Twitter. Szacuje się, że do ataku wykorzystano 100 tys. botów, a w stronę serwerów Dyn skierowano ruch o sile 1,2 Tbps.
Skutki
Z analiz wynika, że Mirai lub jego kolejne mutacje od czasu powstania, do dzisiaj są bardzo aktywne.
Zwolnienie działania sprzętu lub zwiększone zużycie energii to symptomy, które pozwalają przypuszczać, że urządzenie zostało zainfekowane. W takiej sytuacji pozostaje jedynie zrobić reset do ustawień fabrycznych oraz zmiana domyślnych haseł.
Następcy
Mirai cały czas mutuje, a jego kod źródłowy żyje. Dało to początek wariantom, takim jak Okiru, Satori, Masuta i PureMasuta czy OMG. Na przykład odmiana OMG przekształca urządzenia IoT w serwery proxy, które pozwalają cyberprzestępcom pozostać anonimowymi. Istnieje również niedawno odkryty botnet – Reaper, który jest w stanie zagrozić urządzeniom IoT w znacznie szybszym tempie niż Mirai.