En strategi som ofte benyttes av cyberkriminelle for å eskalere omfanget av sine angrep, involverer bruken av såkalte botnett.
Et botnett er et nettverk av datamaskiner som er blitt infisert med skadelig programvare og som styres eksternt av en ondsinnede aktør. Denne aktøren kalles en bot-gjeter, mens de individuelle infiserte maskinene kalles for bots.
Bot-gjetere gir kommandoer til gruppen av infiserte datamaskiner, som gjør det mulig å utføre cyberangrep i mye større skala. Botnett har vært hyppig brukt i omfattende tjenestenektangrep, phishing, spam-kampanjer og datatyveri.
Et kjent eksempel på skadelig programvare som kaprer digitale enheter for å skape store botnett, er Mirai Botnet-malware. Mirai er en botnet-skadevare som angriper og utnytter svakheter i Internet of Things (IoT)-enheter som kjører Linux.
Når enheten er infisert, forvandles den til en fjernstyrt bot som kan brukes som en del av et botnett for å iverksette massive cyberangrep. Mirai ble utviklet ved hjelp av programmeringsspråkene C og GO.
Denne skadelige programvaren ble kjent i 2016 da den ble brukt i et distribuert tjenestenektangrep (DDOS) på DYN, en leverandør av domenenavnsystemer. Angrepet hindret internettbrukere i å få tilgang til populære nettsteder som Airbnb, Amazon, Twitter, Reddit, Paypal og Visa, blant andre.
Mirai-malware var også årsaken til DDOS-angrepene på cybersikkerhetssiden Krebs on Security og det franske selskapet for skybasert databehandling, OVHCloud.
Hvordan Mirai ble til
Mirai-malware ble utviklet av Paras Jha og Josiah White, som på den tiden var studenter i begynnelsen av 20-årene, og i tillegg var grunnleggerne av ProTraf Solutions, et firma som tilbød tjenester for å redusere effekten av DDOS-angrep. Mirai Malware ble skrevet ved hjelp av C og Go.
Opprinnelig var målet deres med Mirai å slå ut konkurrerende Minecraft-servere gjennom DDOS-angrep, slik at de kunne tiltrekke seg flere kunder ved å fjerne konkurrentene.
Etterhvert begynte de å bruke Mirai til utpressing og pengeavpressing. De startet DDOS-angrep mot selskaper, for så å kontakte de angrepne selskapene og tilby dem DDOS-beskyttelse.
Mirai Botnet ble oppdaget av myndighetene og sikkerhetsmiljøet etter angrepene på Krebs on Security og OVH. Da Mirai Botnet begynte å skape overskrifter, lekket skaperne kildekoden på et offentlig tilgjengelig hackingforum.
Dette var trolig et forsøk på å skjule sporene sine og unngå ansvar for DDOS-angrepene som ble utført med Mirai Botnet. Kildekoden ble benyttet av andre nettkriminelle, noe som resulterte i utviklingen av varianter av Mirai Botnet som Okiru, Masuta, Satori og PureMasuta.
Skaperne av Mirai Botnet ble senere arrestert av FBI. De ble ikke fengslet, men fikk mildere straffer fordi de samarbeidet med FBI for å fange andre nettkriminelle og hindre cyberangrep.
Hvordan Mirai Botnet fungerer
Et Mirai Botnet-angrep involverer følgende trinn:
Det er verdt å merke seg at Mirai Botnet hadde IP-områder som den ikke angrep eller infiserte. Dette inkluderte private nettverk og IP-adresser tilhørende USAs forsvarsdepartement og United States Postal Service.
Typer enheter Mirai Botnet angriper
Det primære målet for Mirai Botnet er IoT-enheter som bruker ARC-prosessorer. Ifølge Paras Jha, en av de som utviklet Mirai-boten, var de fleste IoT-enhetene som ble infisert og brukt av Mirai Botnet, rutere.
Listen over potensielle ofre for Mirai Botnet omfatter også andre IoT-enheter som bruker ARC-prosessorer.
Dette kan inkludere smarte hjemmeenheter som sikkerhetskameraer, babymonitorer, termostater og smart-TV-er, bærbare enheter som treningsmålere og klokker, og medisinske IoT-enheter som glukosemålere og insulinpumper. Industrielle og medisinske IoT-enheter som bruker ARC-prosessorer, kan også bli ofre for Mirai-botnettet.
Slik oppdager du en Mirai Botnet-infeksjon
Mirai Botnet er utviklet for å være diskret i angrepene sine, så det er ikke lett å oppdage at enheten din er infisert. Likevel, se etter følgende tegn som kan indikere en mulig infeksjon på din IoT-enhet:
- Langsommere internett – Mirai botnet kan føre til at internett går tregere, da dine IoT-enheter benyttes til å starte DDOS-angrep.
- Unormal nettverkstrafikk – Hvis du jevnlig overvåker nettverksaktiviteten din, kan du merke en plutselig økning i nettverkstrafikken eller forespørsler som sendes til ukjente IP-adresser.
- Redusert ytelse – En IoT-enhet som yter dårligere enn vanlig eller oppfører seg uvanlig, som å slå seg av eller starte på nytt av seg selv, kan være en indikasjon på en mulig Mirai-infeksjon.
- Endringer i konfigurasjoner – Mirai Botnet kan endre innstillinger eller standardkonfigurasjoner på IoT-enhetene for å gjøre dem enklere å utnytte og kontrollere senere. Hvis du oppdager endringer i dine IoT-enheters konfigurasjoner som du ikke står bak, kan det tyde på en Mirai Botnet-infeksjon.
Selv om det er tegn du kan se etter for å avgjøre om enheten din er infisert, er det ikke alltid lett å legge merke til dem, fordi Mirai Botnet er laget for å være vanskelig å oppdage. Derfor er den beste tilnærmingen å forebygge at Mirai Botnet infiserer dine IoT-enheter.
Men hvis du mistenker at en IoT-enhet er infisert, bør du koble den fra nettverket og ikke koble den til igjen før trusselen er eliminert.
Slik beskytter du enhetene dine mot Mirai Botnet-infeksjon
Mirai Botnets viktigste strategi for å infisere IoT-enheter, er å teste en rekke kjente standardinnstillinger for å se om brukerne fremdeles benytter disse.
Hvis det er tilfellet, logger Mirai seg på og infiserer enhetene. Derfor er det viktigste du kan gjøre for å beskytte dine IoT-enheter mot Mirai Botnet, å unngå å bruke standard brukernavn og passord.
Endre påloggingsinformasjonen og bruk passord som ikke er lette å gjette seg til. Du kan også benytte en tilfeldig passordgenerator for å generere unike passord som er vanskelige å gjette.
En annen ting du kan gjøre er å regelmessig oppdatere enhetens fastvare og installere sikkerhetsoppdateringer når de blir tilgjengelige. Bedrifter publiserer ofte sikkerhetsoppdateringer hvis de oppdager sårbarheter i enhetene sine.
Derfor kan det å installere sikkerhetsoppdateringer hjelpe deg å ligge i forkant av angripere. Hvis din IoT-enhet har ekstern tilgang, bør du vurdere å deaktivere den hvis du ikke har behov for den.
Andre tiltak du kan ta inkluderer å jevnlig overvåke nettverksaktiviteten din og segmentere hjemmenettverket slik at IoT-enheter ikke er koblet til kritiske nettverk hjemme.
Konklusjon
Selv om skaperne av Mirai Botnet ble arrestert av myndighetene, vedvarer risikoen for Mirai Botnet-infeksjon. Kildekoden til Mirai Botnet ble offentliggjort, noe som har ført til utviklingen av farlige varianter av Mirai Botnet, som angriper IoT-enheter og har mer kontroll over enhetene.
Derfor bør sikkerhetsfunksjonene til enheten være avgjørende når du kjøper IoT-enheter. Velg IoT-enheter som har sikkerhetsfunksjoner som forebygger mulig skadelig programvare.
Unngå i tillegg å bruke standardkonfigurasjoner og oppdater enhetens fastvare jevnlig og installer alle de nyeste sikkerhetsoppdateringene når de lanseres.
Du kan også undersøke de beste EDR-verktøyene for å oppdage og reagere raskt på nettangrep.