بات‌نت Mirai: بدافزار معروف اینترنت اشیاء

​

محققین امنیتی MalwareTech یک نقشه آنلاین ساخته اند که حمله های بات نت Mirai را در سراسر جهان نشان می دهد.

 بات نت Mirai مسئول یکی از قوی ترین حملات DDoS بوده  است. محققین همچنین تاکید کردند که کلمه عبور پیش فرض دستگاه های اینترنت اشیا را با کلمات عبور دیگر جایگزین کنند.

بدافزار Mirai، بات نت اینترنت اشیا که وب‌سایت Krebs On Security را فلج کرده و یک حمله سنگین DDoS روی ارائه دهنده خدمات OVH انجام داده، توسط یک هکر به طور عمومی منتشر شده است.

هرچند Mirai بزرگ ترین بات نت موجود نیست اما مسئول یکی از بزرگ ترین  حملات DDoS گزارش شده تا کنون است. این بدافزار با انتشار از طریق سرورهای telnet با ۶۲ کلمه عبور پیش فرض نا امن گسترش میابد. این بات نت ها معمولا به دوربین های اینترنتی متصل شده و سایر دستگاه های هوشمند وارد می شوند.

 انتشار کد Mirai یک رویداد مهم برای محققین امنیت بوده است. برای کمک به افراد عادی، دیدن مقیاس این بدافزار و فعالیت آنلاین آن، این نقشه ساخته شده است و زمان واقعی انتشار آن را نشان می دهد.

malwareTech جزییاتی در مورد نحوه کارکرد Mirai نیز منتشر کرده است. اسکنرهایی که سرورهای lots استفاده می کنند نیز در معرض خطر هستند. شرکا MalwareTech می گوید با گسترش استفاده از اینترنت اشیا، حملات DDoS نیز رایج خواهند شد. وقت آن رسیده است که شرکت های سازنده، این دستگاه را با کلمات عبور پیش فرض ارسال نکنند و آن را با کلمه عبور تصادفی جایگزین کنند.

درحالی‌که شرکت خدمات کلود آکامی (Akamai) تأیید کرده که بات‌نت میرای (Mirai) در حمله‌ی عظیم به وبگاه برایان کربز (Brain Krebs) دخالت داشته، کارشناسان بر این باورند که بخش عمده‌ی این حمله بات‌نت میرای بوده و احتمالا یک بات‌نت دیگر نیز درگیر آن بوده است. این شرکت همچنین اعلام کرد که حمله‌ی ۶۲۰ گیگابایت در هر ثانیه که در ۲۰ ماه سپتامبر ثبت شده، حدودا دو برابر تخریب بیشتری داشته است.
در پی این حمله و رخدادهای بعدی که توسط فراهم‌کننده‌ی هاست OVH گزارش شده، میرای در کنار مشکلات ناامنی اینترنت اشیاء، بسیار جلب‌توجه می‌کند. البته آسیب‌پذیری‌ها نیز ایجاد بات‌‌نت‌های این‌چنینی را برای مجرمان سایبری ساده‌تر کرده‌اند. البته، کدهای منبع میرای چند روز پیش به‌صورت آنلاین منتشر شد.
آکامی ادعا می‌کند این حمله توسط ارتشی از ابزارهای متصل به اینترنت، به‌خصوص دوربین‌های مداربسته و DVR ها، حمایت شده است. دنیل شوگرو (Daniel Shugrue)، مدیر بازاریابی محصولات شرکت آکامی گفت: «ما تأیید می‌کنیم که بسیاری از این ابزارها از پسوردهای ساده یا حتی پسوردهای انتخاب‌شده توسط کارخانه استفاده می‌کرده‌اند.»
وی همچنین اعلام کرد: «این حمله شامل میزان قابل‌توجهی ترافیک وابسته به بات‌نت متصل به هدف انجام شده است.» در حقیقت، هکرها بر انعکاس و تقویت برای افزایش میزان ترافیک، تکیه نداشته‌اند؛ این در حالی است که معمولا در حملات DDoS این‌چنین است.
آکامی در تلاش برای پیگیری بدافزار میرای است و ترجیح می‌دهد آن را کیتن (Kaiten) بنامد. این شرکت همچنین مقاله‌ای با عنوان «راهنمایی‌هایی در مورد تهدیدات» در روز هشتم اوت برای مشتریان خود، منتشر کرد. این راهبرد نحوه‌ی سوءاستفاده‌ی تهدیدات از حملات برای کنترل ابزارهای موجود در IP های عمومی و پورت‌های آزاد برای شنود خدمات مانند SSH، HTTP و SMTP را شرح داده است.
این شرکت ادعا می‌کند که حدود ۱۰۰ هزار تلاش برای ورود به دستگاه‌های آسیب‌پذیر از ۱ هزار و ۸۰۰ IP مختلف در ۱۲ روز صورت گرفته است. این IP ها متعلق به چین (۶۴ درصد)، کلمبیا (۱۳ درصد)، کره جنوبی (۶ درصد) و ویتنام (۶ درصد) بوده است. حملات مشابهی نیز اخیرا به سیستم‌های DVR به ثبت رسیده است. استفاده از تنظیمات کارخانه برای ابزارهای متصل به اینترنت فضا را برای سوءاستفاده‌ی میرای و بش‌لایت (Bashlite) باز گذاشته است.
به گفته‌ی آکامی، ۴۷ درصد از ترافیک DDoS ثبت‌شده طی حمله‌ی ۲۰ سپتامبر از منطقه‌ی EMEAT،  سی و یک درصد از آمریکای شمالی و ۲۲ درصد از آسیا – اقیانوسیه بوده است. این شرکت همچنین دو حمله‌ی دیگر در ۲۲ سپتامبر را نیز تحلیل کرده است.
همچنین ادعا می‌شود بدافزارهای ایجاد ترافیک شبیه میرای در ماه‌های قبل نیز مشاهده شده‌اند. یکی از این حملات در ماه ژوئن به ۲۵۰ گیگابایت در هر ثانیه رسید. آکامی در همین راستا اعلام کرد: «برخی از این سیستم‌ها با بات‌نت‌های عمومی موجود قابل هک هستند. آن‌ها همچنین می‌توانند به کمک ابزارهای عمومی موجود، تجهیز شوند. این تغییرات و تاکتیک‌ها از بین نخواهند رفت و کاهش موقت در ساخت و اجاره‌ی این بات‌نت‌ها هزینه‌ی استفاده از آن را برای هکرها کمتر‌ خواهد کرد.»