Mirai Botnet postaje sve snažniji i opasniji iz dana u dan, a to mu omogućavaju nebezbedni IoT uređaji. Prošlog meseca, Mirai Botnet je izvršio veliki napad na globalno popularne sajtove, onemogućivši njihov rad na nekoliko sati u pojedinim delovima sveta. Upravo ovih dana, 27. i 28. novembra, desio se novi napad. Meta su bili ruteri nemačkog provajdera Deutsche Telekom koji pruža različite usluge za 20 milion korisnika. U napadu je onesposobljeno više od 900.000 rutera, što je pogodilo telefoniju, televiziju i internet konekciju u Nemačkoj u nedelju i ponedeljak.

U pitanju je napad pomoću nove verzije Mirai malvera (Linux.Gafgyt.B) koji eksploatiše slabosti u CPE WAN Management Protocol i koji na ruteru ostavlja otvoren TCP port 7547. Podsećanja radi, originalni Mirai malver (Linux.Gafgyt) je izvršavao brute-force napade na širok spektar rutera. Pomenuti TCP port 7547 služi provajderu za upravljanje uređajem sa udaljene lokacije, a prima komande zasnovane na TR-069 i povezanim TR-064 protokolima. U ovom slučaju, radi se o ruterima dva proizvođača – Zyxel i Speedport. Ista ranjivost postoji i u Eir D1000 ruteru irskog provajdera Eircom, a u pitanju je rebrand varijanta Zyxel modema. Nema indicija o aktivnim eksploatacijama rutera irskog provajdera.

Deutsche Telekom je objavio zakrpe za 3 modela rutera koji su pogođeni napadom. Korisnicima je savetovano da izvrše ažuriranje tako što će isključiti ruter na 30 sekundi i onda ga ponovo uključiti. Na taj način, ruter će automatski preuzeti novi softver sa servera. Irski provajder Eir je objavio da su svi potencijalno ugroženi ruteri sada zaštićeni, a korisnicima je rečeno da promene admin i Wi-Fi lozinke. Prema Shodan istraživanju, 41 milion uređaja ostavlja otvoren port 7547, a oko 5 miliona ostavlja TR-064 servis izložen spoljnom svetu.

Razvojni put Mirai trojanca

Prvi put ovaj malver se pojavio u septembru, kada je korišćem u velikom DDoS napadu na sajt novinara Brajana Krebsa. Od tada se malver širi neverovatnom brzinom, inficirajući širok spektar IoT uređaja – rutere, digitalne video rekordere i bezbednosne kamere povezane sa internetom. U oktobru se dogodio DDoS napad do tada neviđenih razmera, a meta je bio DNS provajder Dyn što je rezultiralo u obaranju sajtova giganata poput Spotify, Tvitera i PayPala.

Pročitajte i o ranijim DDoS napadima:

• Najveći DDoS napad od 1 Tbps pomoću 152.000 hakovanih pametnih (IoT) uređaja
• Zašto je veliki DDoS napad na DNS umalo srušio internet?

Prevencija i zaštita

Korisnici IoT uređaja bi trebalo da preuzmu niz preventivnih mera kako bi minimizirali rizik od infekcije Mirai malverom (i drugim pretnjama):

• Pre kupovine istražite koje bezbednosne i druge opcije nudi IoT uređaj.
• Izvršite inspekciju IoT uređaja koji su u vašoj mreži.
• Proverite da li je neki od vaših pametnih uređaja kompromitovan (ili ima predispozicija da to postane), pomoću Internet of Things (IoT) skenera. Ukoliko jeste, odmah promenite login i password.
• Promenite fabričke kredencijale na uređajima. Koristite jake i jedinstvene lozinke za naloge i Wi-Fi mreže.
• Koristite metod jake enkripcije kod podešavanja Wi-Fi mrežnog pristupa (WPA).
• Onemogućite opcije i servise koji nisu obavezni.
• Onemogućite Telnet login i koristite SSH gde god je to moguće.
• Onemogućite UPnP (univerzalni plug and play) na ruterima.
• Izmenite fabrička podešavanja privatnosti i bezbednosti IoT uređaja u skladu sa vašim potrebama i bezbednosnim polisama.
• Koristite žičnu konekciju umesto bežične gde god je to moguće.
• Redovno proveravajte da li je izašlo ažuriranje firmwarea na sajtu proizvođača.
• Pobrinite se da kvar na hardveru ne izazove nebezbedno stanje uređaja.

Symantec i Norton proizvodi pružaju zaštitu od Mirai trojanca i detektuju Linux.Gafgyt i Linux.Gafgyt.B.