Hlavní navigace

Mirai má nový cíl: útočí na routery, cílů má 5 milionů

Jan Kopřiva

Botnet Mirai už napáchal mnoho škod, ale jeho řádění ještě zdaleka nekončí. Naučil se novým věcem a útočí na vzdálený management routerů, ke kterému by měli mít přístup jen operátoři.

Botnet jménem Mirai se v posledních týdnech stal několikrát cílem zájmu odborných i populárních médií. Tento zájem byl způsoben především skutečností, že Mirai byl zdrojem historicky prozatím nejsilnějších DDoS útoků. Posledním takovým útokem byl distribuovaný útok cílený na poskytovatele DNS služeb Dyn, k němuž došlo ve druhé polovině minulého měsíce a který způsobil nedostupnost mnoha webových služeb, včetně Spotify a Twitteru, pro většinu lidí připojených k internetu.

V době tohoto útoku bylo dle většiny odhadů do botnetu zapojeno přibližně 100 000 zařízení – většinou routerů, kamer a dalších IoT zařízení – jeho aktuální velikost by však dle některých zdrojů mohla být i několikanásobně vyšší.

Čtěte: Když „chytré“ kamery útočí: rozbor současných DDoS útoků

Botnety bývají nejčastěji vytvářeny buď za účelem jejich využití samotným „vlastníkem“, nebo pro získání finančních prostředků z jejich pronájmu třetí straně (v obou případech např. k provádění DDoS útoků). Dle některých zdrojů je aktuální verze Mirai (zdrojové kódy původního malwaru, který zařízení do botnetu připojoval, byly volně publikovány na internetu a dále upravovány) svými provozovateli využívána druhým uvedeným způsobem. V nedávné době byl škodlivý kód, který připojuje zařízení do Mirai doplněn o nový vektor šíření, který mu umožňuje infikovat některé typy routerů, používaných nejčastěji domácnostmi a malými podniky pro připojení k internetu.

Uvedeným vektorem je protokol TR-064, resp. TR-069, který využívá TCP port 7547 a je primárně využíván poskytovateli připojení, jimž umožňuje vzdáleně konfigurovat routery zákazníků. Z nedávno publikovaného ukázkového (proof-of-concept) exploitu však vyplývá, že v případě některých zařízení může tento protokol využít i útočník a docílit pomocí něj spuštění libovolného kódu, který na zařízení zašle. Tohoto postupu užívá i nová verze „Mirai malwaru“, která cílí na některé domácí routery.

O víkendu došlo v návaznosti na snahu botnetu rozšířit se pomocí popsaného kanálu k problémům s internetovým připojením v mnoha geografických oblastech. Při pokusu o infekci nového zařízení totiž malware s výjimkou citelného zpomalení připojení na nakažených zařízeních v mnoha případech způsobil i pád na zařízení běžícího systému, čímž způsobil dočasnou nefunkčnost routeru.

Dezinfekce nakažených zařízení je naštěstí velmi jednoduchá – vzhledem k tomu, že malware se nahrává pouze do operační paměti routeru, stačí jej restartovat a dojde k odstranění infekce. Uvedený postup je samozřejmě nutné doplnit o rekonfiguraci zařízení, resp. instalaci odpovídajícího updatu firmwaru, aby bylo zajištěno, že nedojde k opětovnému nakažení zařízení. Velmi citelně bylo popsaným šířením malwaru zasaženo Německo, v němž bylo, dle vyjádření Deutsche Telekomu, problémy s připojením postiženo přibližně 900 000 lidí. Nakažena byla dle dostupných informací dále například zařízení v Rakousku, Polsku nebo Brazílii.

K internetu bylo dle informací získaných ze serveru Shodan 28. listopadu připojených více než 5 milionů zařízení umožňujících připojení pomocí protokolu TR-064 (aktuálně – 29. listopadu – je jich detekováno o něco méně než 5 milionů). V České republice je počet takových zařízení detekovaných Shodanem o něco vyšší než 72 000, na Slovensku pak počet překračuje 22 000.

Je však vhodné zmínit, že čísla získaná ze služby Shodan nejsou přesná a – jak je zmíněno na posledním uvedeném odkazu – skutečné cifry budou s vysokou pravděpodobností nižší. Rovněž ne všechna zařízení užívající TR-064 jsou z pohledu popsaného mechanismu šíření zranitelná. Je však pravděpodobné – s ohledem na skutečnost, že některé z „malých“ routerů prodávaných v ČR zranitelné jsou – že i v prostředí České republiky se budou počty potenciálních cílů pro rozšíření Mirai pohybovat v řádu desetitisíců.

Našli jste v článku chybu?

30. 11. 2016 11:20

Veterán (neregistrovaný)

Podle vyjádření madam Merkel je již jasné, že se jedná o útok ruských hackerů a ona s nimi bude bojovat do roztrhání těla.

30. 11. 2016 11:43

Tak to maji rusti hackeri blbe, protoze takove telo hned tak neco neroztrha - viz priklad zde: https://www.youtube.com/watch?v=GkZottYDpEE

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?