Mirai в Республике Беларусь

В процессе мониторинга вредоносной активности в национальном сегменте сети Интернет Республики Беларусь выявлено около 1500 устройств (по данным ресурса greynoise.io), зараженных вредоносным программным обеспечением типа «Mirai» (далее — ВПО «Mirai»). Зараженные устройства объединяются в ботнет, что в последующем позволяет злоумышленникам централизовано управлять ими. Помимо того, что они получают доступ к зараженным устройствам и похищают информацию, так еще и используют для неправомерной вредоносной деятельности, как в нашем сегменте сети Интернет, так и на территории других государств (за последнее время поступило около 10 обращений).

Применение таким устройствам (ботам) достаточно широкое, например:

• Владельцы ботнета могут сдавать их в аренду другим злоумышленникам.

• Участие в проведении достаточно мощных DDoS-атак, как на государственные органы, так и коммерческие организации.

• Сканирование хостов и поиск новых уязвимых устройств.

• Проведение атак по подбору паролей и эксплуатации уязвимостей.

Существует большое количество различных версий, модификаций и подражателей ВПО «Mirai», у которых могут отличаться их функциональные возможности.

Чаще всего от рассматриваемого ВПО страдают устройства Интернета вещей (Internet of things, IoT), которые в настоящее время повсеместно используются различными коммерческими организациями, государственными органами и физическими лицами. К данным устройствам относятся роутеры, телевизоры, веб-камеры, датчики движения и множество других, подключенных к сети интернет. Как правило, производители таких устройств для удешевления процесса изготовления нередко пренебрегают их защищенностью, жестко указывают в программном обеспечении одни и те же стандартные логины и пароли для целых серий. Так же не стоит забывать, что источником заражения в локальной сети может служить и обычный ПК или сервер, на котором установлены слабые пароли, а также есть незакрытые уязвимости.

В настоящее время ВПО «Mirai» и ему подобные не стоят на месте и продолжают развиваться. В их функционал добавлены возможности эксплуатировать известные уязвимости для различных устройств, операционных систем и ПО.

Характерный демаскирующий признак заражения ВПО «Mirai» – это кратковременные попытки подключения на случайные IP-адреса и порты с использованием протоколов telnet и ssh, а также с отправкой данных на командные центры, которые периодически меняются.

Правила, выполнение которых позволит существенно снизить вероятность заражения указанным типом ВПО, а также многими другими:

  • Использовать надежные пароли, длина которых должна превышать 8 символов, а также использовать различные специальные символы и цифры.
  • Не устанавливать словарные пароли, т.е какие-либо словосочетания.
  • Отключать учетные записи, созданные по умолчанию (как администраторов так и пользователей).
  • Создавать для пользователей учетные записи с максимально ограниченными правами, необходимыми для их работы.
  • Не использовать для администрирования и пользователей «говорящие учетные записи», т. е. «root», «admin», «user», «пользователь» и так далее.
  • Использовать учетные записи с правами уровня «администратор» только для настройки устройства.
  • Своевременно устанавливать обновления и патчи безопасности для операционных систем и программного обеспечения.