С ростом популярности и масштабов Интернета вещей его устройства начали использоваться злоумышленниками как платформа для организации мощнейших кибератак.  Степень  серьезности и число громких инцидентов безопасности с участием таких  устройств показали,  что они самое слабое звено цепочки безопасности современных компьютерных сетей. И пусть вычислительная мощность большинства субъектов Интернета вещей далека от возможностей ПК, ее нехватка восполняется количеством устройств, объединенных в единое целое. Все они постоянно соединены с Сетью, и  нередко,  работая в заводской конфигурации, становятся лакомым куском для взломщиков. Огромная численность, широкое распространение и слабая защищенность устройств Интернета вещей уже привлекли немало злоумышленников, которые с их помощью активно устраивают DDoS-атаки.

«Будущее» уже здесь

Недавний широко известный пример — ботнет Mirai (от японского «будущее».  —  Прим. ред. ), впервые обнаруженный в августе 2016 года исследовательской группой MalwareMustDie [1]. Сам вредонос, а также его многочисленные варианты и подражатели стали источниками самых  мощных  DDoS-атак в истории ИТ-индустрии.

В сентябре 2016 года сайт консультанта по компьютерной безопасности Брайана Кребса стал получать трафик со скоростью 620 Гбит/c, что на порядки больше уровня, при котором большинство сайтов выходят из строя [2]. Примерно в то же время еще более мощная DDoS-атака, организованная с помощью  Mirai (1,1 Тбит/с),  поразила OVH, французского провайдера сервисов веб-хостинга и облачных сервисов [3]. Вскоре был опубликован исходный код вредоноса, после чего злоумышленники начали сдавать в аренду ботнеты на его основе, содержавшие до 400 тыс. устройств. Последовал еще ряд атак Mirai, самая известная из которых, организованная против сервис-провайдера Dyn, в октябре 2016-го на несколько часов вывела из строя сотни сайтов, включая Twitter, Netflix, Reddit и GitHub.

Mirai обычно распространяется, вначале заражая веб-камеры, цифровые видеорегистраторы, маршрутизаторы и т. д., на которых работает одна из версий BusyBox. Затем вредонос выясняет административные верительные данные других устройств Интернета вещей путем простого перебора, используя небольшой словарь типовых для производителей сетевых устройств пар «имя-пароль».

Впоследствии мутации Mirai начали появляться буквально ежедневно, и то, что у них сохранялась способность размножаться и наносить ущерб с помощью тех же методов, что и у оригинала, указывает на хроническое пренебрежение производителей устройств Интернета вещей простейшими методами защиты. Как ни странно, при этом ботнеты, образованные из таких устройств, исследовались слабо, несмотря на опасность того, что все более сложные атаки на их базе потенциально способны подорвать всю инфраструктуру Интернета.

Принцип действия Mirai

Mirai устраивает DDoS-атаку против серверов-мишеней, активно распространяясь через устройства Интернета вещей с незащищенной конфигурацией.

Главные компоненты

Ботнет Mirai состоит из четырех основных компонентов. Бот — вредонос, заражающий устройства и распространяющий «инфекцию» среди неверно сконфигурированных устройств, а потом атакующий сервер-мишень при получении соответствующей команды от ботмастера  —  человека, управляющего ботами. Управляющий сервер предоставляет ботмастеру интерфейс, позволяющий проверять состояние ботнета и инициировать новые DDoS-атаки. Связь между элементами инфраструктуры ботнета обычно осуществляется через анонимную сеть Tor. Загрузчик обеспечивает распространение исполняемых файлов для всех аппаратных платформ (всего их 18, в том числе ARM, MIPS, x86 и др.) путем прямого контакта с новыми жертвами. Сервер отчетов ведет...

Это не вся статья. Полная версия доступна только подписчикам журнала. Пожалуйста, авторизуйтесь либо оформите подписку.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF