Mirai
Mirai (с яп. — «будущее») — это вредоносная программа (ботнет), предназначенная для заражения устройств интернета вещей (IoT), работающих под управлением операционной системы Linux, с целью организации распределённых атак типа «отказ в обслуживании» (DDoS). Mirai действует путём сканирования сети в поисках устройств с уязвимыми заводскими или стандартными учётными данными, после чего заражает их и включает в состав ботнета, управляемого централизованно через командный сервер (C&C). Ботнет получил широкую известность в 2016 году после нескольких крупномасштабных DDoS-атак, в том числе на серверы DNS-провайдера Dyn, что привело к временной недоступности многих популярных интернет-сервисов.
История
Происхождение и создатели
Первые упоминания о Mirai в открытых источниках относятся к августу 2016 года, когда вредоносная программа была обнаружена исследователями в области кибербезопасности. Авторами Mirai выступили три американских программиста: Парас Джа (Paras Jha), Джозиа Уайт (Josiah White) и Далтон Норман (Dalton Norman). По данным расследования ФБР, они создали ботнет для получения финансовой выгоды, в том числе для заработка на услугах по защите от DDoS-атак (так называемый «рэкет»). В сентябре 2018 года все трое признали себя виновными в создании и распространении вредоносного ПО, а также в сговоре с целью совершения компьютерного мошенничества.
Утечка исходного кода
В сентябре 2016 года, после того как Mirai привлёк внимание СМИ, его исходный код был опубликован на форуме Hack Forums. По разным версиям, это было сделано либо самими создателями, чтобы отвлечь внимание от своей причастности, либо третьими лицами, получившими доступ к коду. Публикация исходного кода привела к взрывному росту числа модификаций Mirai и его использования другими киберпреступниками. К концу 2016 года появились десятки вариантов ботнета, включая Satori, Okiru, Masuta и другие.
Атака на Dyn (2016)
Ключевым событием, сделавшим Mirai широко известным, стала DDoS-атака на компанию Dyn, крупного провайдера DNS-услуг, 21 октября 2016 года. Атака была осуществлена с использованием ботнета, состоящего из десятков тысяч заражённых устройств IoT. В результате атаки на несколько часов стали недоступны такие сервисы, как Twitter, Netflix, Reddit, Spotify, Airbnb и многие другие. По оценкам экспертов, пиковая мощность атаки достигала 1,2 Тбит/с. Это стало одной из крупнейших DDoS-атак на тот момент и продемонстрировало уязвимость инфраструктуры интернета перед ботнетами на основе IoT.
Устройство и принцип работы
Архитектура
Mirai состоит из нескольких компонентов:
- Сканер — модуль, который постоянно сканирует IP-адреса в интернете на предмет открытых Telnet-портов (порт 23) и SSH-портов (порт 22). Сканирование ведётся случайным образом, но с приоритетом на адреса, принадлежащие крупным провайдерам.
- Брутфорсер — после обнаружения открытого порта программа пытается подключиться к устройству, используя список стандартных и заводских учётных данных (логин/пароль). В списке Mirai содержится около 60 наиболее распространённых комбинаций, таких как
root/root,admin/admin,support/supportи т.п. - Загрузчик — если подключение успешно, загрузчик отправляет на устройство исполняемый файл вредоносной программы, который затем запускается. Файл адаптирован под архитектуру процессора устройства (ARM, MIPS, x86 и др.).
- Командный сервер (C&C) — центральный сервер, который управляет ботнетом, отдаёт команды на запуск атак, обновление или выполнение других действий.
- Клиент — на заражённом устройстве запускается клиентская часть, которая связывается с C&C и ожидает команд.
Методы атак
Mirai поддерживает несколько типов DDoS-атак:
- HTTP Flood — массовая отправка HTTP-запросов на целевой сервер, что приводит к исчерпанию его ресурсов (CPU, память).
- SYN Flood — отправка большого количества SYN-пакетов (первый этап TCP-рукопожатия) без завершения соединения, что истощает очередь соединений на сервере.
- UDP Flood — отправка большого объёма UDP-пакетов на случайные порты целевого сервера.
- DNS Amplification — использование открытых DNS-серверов для усиления трафика: отправка запросов с подменённым IP-адресом жертвы, что приводит к отправке ответов в десятки раз большего объёма.
- GRE Flood — отправка инкапсулированных пакетов (GRE-туннели), что может перегрузить сетевую инфраструктуру.
Распространение
Mirai распространяется исключительно через автоматическое сканирование и брутфорс. Он не использует уязвимости в программном обеспечении, а полагается на невнимательность пользователей, которые оставляют заводские пароли на устройствах IoT. После заражения устройство начинает сканировать сеть дальше, что обеспечивает экспоненциальный рост ботнета.
Классификация и модификации
Основные варианты
После публикации исходного кода появилось множество модификаций Mirai. Наиболее известные из них:
- Satori — вариант, использующий уязвимости в протоколах TR-069 (используется в роутерах) и в некоторых моделях IP-камер. Отличается более агрессивным сканированием.
- Okiru — модификация, нацеленная на устройства на базе процессоров ARC (используются в промышленных контроллерах).
- Masuta — вариант, дополнительно атакующий устройства через уязвимости в веб-интерфейсах.
- Bashlite — более ранний ботнет, схожий по принципу действия, но с другим исходным кодом.
Влияние на индустрию
Появление Mirai привело к значительному росту числа DDoS-атак, особенно на инфраструктуру интернета вещей. Исследователи отмечают, что после утечки кода количество ботнетов на основе Mirai исчислялось сотнями, а число заражённых устройств — миллионами. Это также стимулировало развитие методов защиты IoT-устройств, включая обязательную смену паролей, использование брандмауэров и систем обнаружения вторжений.
Применение и значение
Использование киберпреступниками
Mirai используется для организации DDoS-атак с целью вымогательства, конкурентной борьбы или просто для демонстрации силы. Атаки могут быть направлены на игровые серверы, сайты электронной коммерции, финансовые учреждения и государственные ресурсы. В ряде случаев злоумышленники требуют выкуп за прекращение атаки.
Влияние на безопасность IoT
Mirai стал катализатором для пересмотра подходов к безопасности устройств интернета вещей. Производители начали активнее внедрять механизмы автоматической смены паролей, обновления прошивок и блокировки доступа по Telnet. Однако проблема остаётся актуальной: по данным на 2023 год, миллионы IoT-устройств по-прежнему используют стандартные пароли.
Критика и последствия
Этические и правовые аспекты
Создание и распространение Mirai является уголовным преступлением в большинстве стран. В США создатели были приговорены к условным срокам и штрафам, а также обязаны выплатить компенсацию пострадавшим. В России использование Mirai и подобных ботнетов также преследуется по закону (ст. 272, 273, 274 УК РФ).
Недостатки и уязвимости
Несмотря на свою эффективность, Mirai имеет ряд недостатков:
- Зависимость от Telnet — многие современные устройства отключают Telnet по умолчанию, что снижает эффективность сканирования.
- Ограниченный список паролей — если устройство использует уникальный или сложный пароль, Mirai не может его взломать.
- Отсутствие скрытности — заражённое устройство часто начинает проявлять признаки аномального поведения (высокая загрузка CPU, активный сетевой трафик), что может быть обнаружено системами мониторинга.
Интересные факты
- Название «Mirai» переводится с японского как «будущее», что иронично отражает угрозу, исходящую от будущего интернета вещей.
- В ходе атаки на Dyn ботнет Mirai использовал около 100 000 заражённых устройств, большинство из которых были IP-камерами и домашними роутерами.
- После утечки исходного кода Mirai был адаптирован для атак на устройства под управлением Windows, хотя изначально был ориентирован только на Linux.
- В 2017 году исследователи обнаружили вариант Mirai, который использовал уязвимость в протоколе UPnP для обхода брандмауэров.
Источники
- Krebs, B. (2016). «Who Makes the IoT Things?» — KrebsOnSecurity.
- Antonakakis, M. et al. (2017). «Understanding the Mirai Botnet» — USENIX Security Symposium.
- Федеральное бюро расследований (FBI). (2018). «Press Release: Three Individuals Charged for Creating and Operating Mirai Botnet».
- Kumar, S. et al. (2019). «Mirai Botnet: A Survey» — International Journal of Computer Applications.
- Отчёты компании Akamai Technologies (2016–2023) о DDoS-атаках.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →