Mirai-botnettet er tilbake – slik beskytter du deg!

Mirai-botnettet gjorde sin entré i 2016, og kapret en usedvanlig mengde enheter og forårsaket omfattende skade på internett. Nå er det tilbake, og mer truende enn noen gang tidligere.

Den Nyutviklede Mirai Sprer Seg Til Flere Enheter

Den 18. mars 2019 avslørte sikkerhetseksperter ved Palo Alto Networks at Mirai er blitt raffinert og oppdatert for å operere i enda større skala. Forskerne oppdaget at Mirai benyttet seg av 11 nye metoder for infiltrasjon (som bringer totalen til 27), i tillegg til en utvidet liste over standard administratorlegitimasjon. Noen av endringene er spesielt rettet mot maskinvare for bedrifter, inkludert LG Supersign-TV-er og WePresent WiPG-1000 trådløse presentasjonssystemer.

Mirais potensial øker betraktelig dersom det klarer å overta maskinvare i bedriftsnettverk. Som Ruchna Nigam, en erfaren trusselforsker hos Palo Alto Networks, uttrykker det:

«Disse nye funksjonene gir botnettet en betydelig angrepsflate. Spesielt gir målretting av bedriftsforbindelser tilgang til større båndbredde, noe som resulterer i økt slagkraft for botnettet ved DDoS-angrep.»

Denne oppdaterte varianten av Mirai fortsetter å angripe vanlige forbrukerrutere, kameraer og andre enheter tilkoblet nettverket. Jo flere enheter som infiseres, desto mer destruktive blir konsekvensene. Det er verdt å merke seg at den ondsinnede programvaren ble hostet på en nettside som tilbød «Elektronisk sikkerhet, integrasjon og alarmovervåking».

Mirai: Et Botnett Rettet Mot IoT-Enheter

For å minne om hendelsene i 2016, syntes Mirai-botnettet å være allestedsnærværende. Det angrep rutere, DVR-systemer, IP-kameraer og andre enheter. Disse enhetene, kjent som Internet of Things (IoT), inkluderer alt fra termostater til andre enheter som er koblet til internett. Et botnett opererer ved å infisere grupper av datamaskiner og andre internettilkoblede enheter, og tvinge dem til å utføre koordinerte angrep på systemer eller andre mål.

Mirai utnyttet enheter med standard administratorlegitimasjon, enten fordi disse ikke var endret eller fordi de var hardkodet av produsenten. Botnettet overtok et stort antall enheter. Selv om de fleste av disse ikke var spesielt kraftige, var antallet nok til å oppnå mer enn en kraftig zombiedatamaskin kunne alene.

Mirai tok kontroll over nesten 500 000 enheter. Ved å bruke dette omfattende botnettet av IoT-enheter, lammet Mirai tjenester som Xbox Live og Spotify, i tillegg til nettsteder som BBC og Github, ved å angripe DNS-leverandører direkte. Med et slikt antall infiserte maskiner, ble Dyn (en DNS-leverandør) rammet av et DDoS-angrep med en trafikkmengde på 1,1 terabyte. Et DDoS-angrep oversvømmer et mål med en enorm mengde internettrafikk, langt over målets kapasitet. Dette kan overvelde målets nettsted eller tjeneste, og tvinge den ut av drift.

De opprinnelige skaperne av Mirai-botnettet ble arrestert, erkjente straffskyld og fikk betinget dom. Mirai var en periode satt ut av spill. Men mye av koden overlevde, og andre ondsinnede aktører kunne overta og modifisere den etter eget behov. Nå er en annen variant av Mirai i omløp.

Slik Beskytter Du Deg Mot Mirai

Mirai, som andre botnett, bruker kjente sårbarheter for å angripe og kompromittere enheter. Det forsøker også å utnytte standard påloggingsinformasjon for å infiltrere og overta enheter. Dine tre viktigste beskyttelsestiltak er derfor enkle å iverksette.

Sørg alltid for å oppdatere fastvaren (og programvaren) på alle enheter hjemme eller på arbeidsplassen som er koblet til internett. Hacking er et kontinuerlig spill, der sikkerhetsforskere identifiserer sårbarheter, og utviklere deretter lager oppdateringer for å rette opp problemene. Botnett som dette trives på enheter som ikke er oppdatert, og denne Mirai-varianten er ikke noe unntak. Sårbarhetene som retter seg mot maskinvare for bedrifter, ble oppdaget så tidlig som i 2017 og i fjor høst.

Endre administratorlegitimasjonen (brukernavn og passord) på enheten så snart som mulig. For rutere kan dette gjøres via ruterens nettbaserte grensesnitt eller en tilhørende mobilapp. For andre enheter der du logger inn med standard brukernavn eller passord, konsulter enhetens bruksanvisning.

Hvis du kan logge inn med «admin», «passord» eller et tomt felt, må du endre dette. Sørg for å endre standardlegitimasjonen hver gang du setter opp en ny enhet. Hvis du allerede har konfigurert enheter og forsømt å endre passordet, gjør det nå. Denne nye Mirai-varianten er spesielt utviklet for å angripe enheter med standard brukernavn og passord.

Hvis produsenten av enheten din har sluttet å publisere fastvareoppdateringer, eller har hardkodet administratorlegitimasjonen slik at du ikke kan endre dem, bør du vurdere å bytte ut enheten.

Den beste måten å sjekke dette på, er å besøke produsentens nettside. Se etter støttesiden for enheten din, og sjekk om det finnes informasjon om fastvareoppdateringer. Kontroller når den siste oppdateringen ble utgitt. Hvis det har gått flere år siden forrige oppdatering, er det sannsynlig at produsenten ikke lenger støtter enheten.

Du kan også finne instruksjoner for å endre administratorlegitimasjonen på produsentens støtteside. Hvis du ikke finner nyere fastvareoppdateringer eller en metode for å endre enhetens passord, er det nok på tide å bytte ut enheten. Det er ikke forsvarlig å ha en permanent sårbarhet tilkoblet nettverket ditt.

Hvis den nyeste tilgjengelige fastvaren er fra 2012, bør du definitivt bytte ut enheten.

Å bytte ut enhetene dine kan virke drastisk, men hvis de er sårbare, er det det beste alternativet. Botnett som Mirai vil ikke forsvinne. Det er ditt ansvar å beskytte enhetene dine. Ved å beskytte dine egne enheter, bidrar du også til å beskytte resten av internett.