С конца 2024 года целый ряд крупных DDoS-атак обрушился на организации по всему миру, включая Японию. Источником этих атак стал ботнет, управляемый через командно-контрольные (C&C) серверы и состоящий из зараженных устройств Интернета вещей (IoT).
Ботнет распространяется с использованием модифицированных версий вредоносного программного обеспечения Mirai и Bashlite (также известного как Gafgyt и Lizkebab). Заражение происходит путём эксплуатации уязвимостей и слабых учетных данных в IoT-устройствах. После загрузки и запуска вредоносной программы, устройства подключаются к C&C-серверу и начинают выполнять команды. Возможности ботнета включают различные методы DDoS-атак, обновление вредоносного ПО и предоставление прокси-сервисов.
География атак охватывает Северную Америку и Европу, при этом методы атаки отличаются в зависимости от региона. Для Японии применяются одни команды, для остального мира – другие. Кроме того, под ударом оказались различные секторы экономики. В качестве основных устройств ботнета используются беспроводные маршрутизаторы и IP-камеры популярных брендов.
Технический анализ показал, что заражение начинается с эксплуатации уязвимостей удаленного выполнения кода (RCE) или слабых паролей. После этого загружается скрипт, который скачивает и запускает вторую стадию загрузчика. Этот загрузчик, в свою очередь, получает вредоносную нагрузку по HTTP с сервера распространения. При этом, используется особый заголовок User-Agent, что делает обычную загрузку невозможной. Загруженное вредоносное ПО, оставаясь в памяти, подключается к C&C-серверу для получения команд. Команды выполняются немедленно.
Структура команд представляет собой двухбайтную длину сообщения, за которой следует текстовое сообщение, включающее команду и аргументы. Ботнет способен выполнять широкий спектр DDoS-атак, включая TCP-атаки (
Для предотвращения перезагрузок во время DDoS-атак вредоносное ПО отключает таймер сторожевого пса (WDT), который периодически проверяет работу системы и обнаруживает зависания. Для затруднения обнаружения и манипулирования DDoS-пакетами, вредоносное ПО использует команду
С 27 декабря 2024 года по 4 января 2025 года был собран массив данных об атаках по всему миру. Основная концентрация атак наблюдалась в Северной Америке и Европе, причем лидерами по количеству стали США, Бахрейн и Польша. Атаки на японские и международные цели также отличались в использовании команд. Японские цели чаще подвергались атакам с использованием команды
В Японии атакам подверглись, в основном, транспортные компании, а также предприятия информационно-коммуникационной и финансово-страховой отраслей. На международном уровне основной удар пришелся на информационно-коммуникационный сектор, а также финансово-страховую отрасль, при этом транспортный сектор не затронут.
Для мониторинга ботнета использовались глобальные системы анализа угроз, отслеживая взаимодействие с C&C-серверами. В ботнете было идентифицировано 348 устройств, 80% из которых – беспроводные маршрутизаторы, 15% – IP-камеры. Маршрутизаторы TP-Link и Zyxel и IP-камеры Hikvision стали основными источниками ботнет-трафика. Основными регионами распространения являются Индия и Южная Африка. Уязвимости IoT-устройств связаны с игнорированием пользователями необходимости менять настройки по умолчанию, отсутствием обновлений и недостаточной встроенной защитой.
Для предотвращения заражения ботнетом рекомендуется устанавливать надежные пароли, своевременно обновлять прошивку, отключать ненужный удаленный доступ, изолировать IoT-устройства в отдельной сети, проверять открытые порты и ограничивать доступ к управлению устройствами из Интернета.
Для противодействия DDoS-атакам типа UDP-flood следует использовать межсетевые экраны и маршрутизаторы, сотрудничать с провайдерами для фильтрации трафика, усиливать аппаратную часть маршрутизаторов, а также мониторить и блокировать подозрительные IP-адреса в режиме реального времени. Для защиты от TCP-атак рекомендуется использовать CDN для распределения нагрузки, ограничивать количество запросов с IP, использовать сторонние сервисы для фильтрации трафика, мониторить соединения, блокировать аномальный трафик с помощью IDS/IPS, отключать долго подключавшихся клиентов, усиливать аппаратную часть серверов, увеличивать лимит соединений и уменьшать время ожидания. Дополнительные рекомендации по защите от DDoS-атак можно найти в руководстве Агентства США по кибербезопасности и защите инфраструктуры (CISA).
Для выявления вредоносного ПО MIRAI используется специальный поисковой запрос, предоставляемый пользователям с подпиской на Threat Insights Entitlement. Индикаторы компрометации также доступны по ссылке.
В заключение следует отметить, что зараженные IoT-устройства способны наносить значительный ущерб, не признавая границ. Поэтому крайне важно внедрять комплексные меры безопасности для предотвращения заражения и участия в атаках.
Изображение носит иллюстративный характер
Ботнет распространяется с использованием модифицированных версий вредоносного программного обеспечения Mirai и Bashlite (также известного как Gafgyt и Lizkebab). Заражение происходит путём эксплуатации уязвимостей и слабых учетных данных в IoT-устройствах. После загрузки и запуска вредоносной программы, устройства подключаются к C&C-серверу и начинают выполнять команды. Возможности ботнета включают различные методы DDoS-атак, обновление вредоносного ПО и предоставление прокси-сервисов.
География атак охватывает Северную Америку и Европу, при этом методы атаки отличаются в зависимости от региона. Для Японии применяются одни команды, для остального мира – другие. Кроме того, под ударом оказались различные секторы экономики. В качестве основных устройств ботнета используются беспроводные маршрутизаторы и IP-камеры популярных брендов.
Технический анализ показал, что заражение начинается с эксплуатации уязвимостей удаленного выполнения кода (RCE) или слабых паролей. После этого загружается скрипт, который скачивает и запускает вторую стадию загрузчика. Этот загрузчик, в свою очередь, получает вредоносную нагрузку по HTTP с сервера распространения. При этом, используется особый заголовок User-Agent, что делает обычную загрузку невозможной. Загруженное вредоносное ПО, оставаясь в памяти, подключается к C&C-серверу для получения команд. Команды выполняются немедленно.
Структура команд представляет собой двухбайтную длину сообщения, за которой следует текстовое сообщение, включающее команду и аргументы. Ботнет способен выполнять широкий спектр DDoS-атак, включая TCP-атаки (
socket, handshake, stomp, syn, ack), UDP-атаки (udph, tonudp), а также GRE-атаки. Помимо этого, команды позволяют обновлять вредоносное ПО, выполнять произвольные команды на зараженном устройстве, завершать процесс вредоносного ПО, предоставлять прокси-сервисы SOCKS и перенаправлять UDP-трафик. Для предотвращения перезагрузок во время DDoS-атак вредоносное ПО отключает таймер сторожевого пса (WDT), который периодически проверяет работу системы и обнаруживает зависания. Для затруднения обнаружения и манипулирования DDoS-пакетами, вредоносное ПО использует команду
iptables. Правила iptables разрешают подключения из локальной сети, блокируют входящие подключения извне, разрешают трафик для установленных TCP-соединений и разрешают связь с C&C-сервером. Это защищает от заражения другими ботнетами и упрощает администрирование устройства из локальной сети, скрывая признаки заражения. С 27 декабря 2024 года по 4 января 2025 года был собран массив данных об атаках по всему миру. Основная концентрация атак наблюдалась в Северной Америке и Европе, причем лидерами по количеству стали США, Бахрейн и Польша. Атаки на японские и международные цели также отличались в использовании команд. Японские цели чаще подвергались атакам с использованием команды
stomp, а международные – socket и handshake. Причем против одной организации могли применяться несколько команд одновременно. После 11 января, хоть и в краткой форме, команды socket и handshake были применены и к японским организациям, что может свидетельствовать о тестировании. В Японии атакам подверглись, в основном, транспортные компании, а также предприятия информационно-коммуникационной и финансово-страховой отраслей. На международном уровне основной удар пришелся на информационно-коммуникационный сектор, а также финансово-страховую отрасль, при этом транспортный сектор не затронут.
Для мониторинга ботнета использовались глобальные системы анализа угроз, отслеживая взаимодействие с C&C-серверами. В ботнете было идентифицировано 348 устройств, 80% из которых – беспроводные маршрутизаторы, 15% – IP-камеры. Маршрутизаторы TP-Link и Zyxel и IP-камеры Hikvision стали основными источниками ботнет-трафика. Основными регионами распространения являются Индия и Южная Африка. Уязвимости IoT-устройств связаны с игнорированием пользователями необходимости менять настройки по умолчанию, отсутствием обновлений и недостаточной встроенной защитой.
Для предотвращения заражения ботнетом рекомендуется устанавливать надежные пароли, своевременно обновлять прошивку, отключать ненужный удаленный доступ, изолировать IoT-устройства в отдельной сети, проверять открытые порты и ограничивать доступ к управлению устройствами из Интернета.
Для противодействия DDoS-атакам типа UDP-flood следует использовать межсетевые экраны и маршрутизаторы, сотрудничать с провайдерами для фильтрации трафика, усиливать аппаратную часть маршрутизаторов, а также мониторить и блокировать подозрительные IP-адреса в режиме реального времени. Для защиты от TCP-атак рекомендуется использовать CDN для распределения нагрузки, ограничивать количество запросов с IP, использовать сторонние сервисы для фильтрации трафика, мониторить соединения, блокировать аномальный трафик с помощью IDS/IPS, отключать долго подключавшихся клиентов, усиливать аппаратную часть серверов, увеличивать лимит соединений и уменьшать время ожидания. Дополнительные рекомендации по защите от DDoS-атак можно найти в руководстве Агентства США по кибербезопасности и защите инфраструктуры (CISA).
Для выявления вредоносного ПО MIRAI используется специальный поисковой запрос, предоставляемый пользователям с подпиской на Threat Insights Entitlement. Индикаторы компрометации также доступны по ссылке.
В заключение следует отметить, что зараженные IoT-устройства способны наносить значительный ущерб, не признавая границ. Поэтому крайне важно внедрять комплексные меры безопасности для предотвращения заражения и участия в атаках.
