Dotarła do nas informacja o pojawieniu się nowej wersji botnetu Mirai (samorozprzestrzeniający się botnet, który atakuje urządzenia Internetu Rzeczy, a w 2016 roku przypuścił masowy atak DDoS na serwery Dyn). Według analiz botnet ten jest obecnie wyposażony w znacznie większy zestaw exploitów, przez co stwarza jeszcze większe niebezpieczeństwo i szybciej się rozprzestrzenia. Co więcej, nowa odmiana atakuje nie tylko zwykłe przedmioty — „inteligentne” routery, kamery IP itp. — ale również korporacyjne urządzenia Internetu Rzeczy.
Nie było to wielkie zdziwienie — kod źródłowy szkodliwego programu Mirai wyciekł już jakiś czas temu, więc może go używać niemal każda osoba z wystarczającym poziomem wiedzy w zakresie programowania. W efekcie nazwa Mirai często pojawia się w raporcie na temat ataków DDoS w czwartym kwartale, opublikowanym w serwisie Securelist. Według naszego najnowszego raportu dotyczącego zagrożeń Internetu Rzeczy nowe warianty szkodliwego programu Mirai są odpowiedzialne za 21% wszystkich infekcji takich urządzeń.
Biorąc pod uwagę to, że kod szkodnika Mirai jest bardzo elastyczny i można go dowolnie adaptować, może on z łatwością zostać wyposażony w nowe exploity w celu poszerzenia grona ofiar, czego właśnie doświadczamy. Nowy zestaw exploitów może atakować nie tylko zwykłe przedmioty — takie jak routery, punkty dostępowe, modemy ADSL czy kamery sieciowe — ale również urządzenia korporacyjne, takie jak cyfrowe systemy wspomagające prowadzenie prezentacji.
Według analityków z firmy Palo Alto Networks na liście nowych potencjalnych celów botnetu Mirai znajdują się:
- bezprzewodowe systemy do prezentacji ePresent WiPG-1000,
- telewizory LG Supersign,
- sieciowe kamery wideo DLink DCS-930L,
- routery DLink DIR-645, DIR-815,
- routery Zyxel P660HN-T,
- urządzenia Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620,
- routery modemowe Netgear DGN2200 N300 Wireless ADSL2+,
- kontrolery bezprzewodowe Netgear Prosafe WC9500, WC7600, WC7520.
Jednak to nie koniec tej historii. Nasi eksperci spodziewają się wystąpienia nowych fal infekcji Mirai, które prawdopodobnie nie ominą urządzeń przemysłowego Internetu Rzeczy.
Jak zapewnić bezpieczeństwo swoim urządzeniom
W celu ochrony swoich urządzeń przed atakiem botnetu Mirai, nasz badacz ds. bezpieczeństwa Wiktor Czebyszew radzi firmom, aby:
- instalowały łaty i aktualizacje oprogramowania układowego na wszystkich urządzeniach i systemach tuż po ich udostępnieniu,
- monitorowały ruch generowany przez każde urządzenie, ponieważ w przypadku infekcji jest on znacznie większy,
- zawsze zmieniały hasła ustawione fabrycznie i wymuszały stosowanie przez pracowników skutecznej polityki haseł,
- ponownie uruchamiały urządzenia, gdy działają nietypowo, pamiętając równocześnie, że chociaż ten sposób może uwolnić je od szkodliwego programu, nie zmniejszy ryzyka rozprzestrzeniania się infekcji.
Źródła danych dotyczących zagrożeń dla Internetu Rzeczy oferowane przez Kaspersky Lab
Aby zabezpieczyć firmy przed najnowszymi zagrożeniami związanymi z Internetem Rzeczy, udostępniliśmy nowe źródła danych służące do analiz, które gromadzą dane na temat zagrożeń dla Internetu Rzeczy. Na tę chwilę baza ta zawiera ponad 8000 rekordów i jest aktualizowana co godzinę. Źródło to można zaimplementować w routerach, bramach sieciowych, inteligentnych systemach i poszczególnych produktach Internetu Rzeczy, jak również wykorzystywać je do analizy zagrożeń.
Baza ta powstaje w oparciu o informacje dostarczane przez naszych badaczy i analityków, jak również dane gromadzone przez tzw. honeypoty i inne pułapki symulujące niezabezpieczone urządzenia Internetu Rzeczy. Więcej informacji na ten temat znajduje się na stronie https://www.kaspersky.pl/ochrona-dla-korporacji/cybersecurity-services.