האקרים מרחיבים את פעילות Mirai – גם ל-Windows

אחרי שערכו מתקפת ענק, שהביאה לנפילה ארוכה של מאות אתרים בסוף 2016, עם התקפת ה- DDoS הגדולה ביותר אי פעם – האקרים מחפשים לקדם את הקוד הזדוני Mirai למכשירי אינטרנט של הדברים נוספים, המחוברים ל-Windows. על פי מומחי מעבדת קספרסקי (Kaspersky Lab), "זו רק ההתחלה".

חוקרי קספרסקי ניתחו את הנוזקה הראשונה להפצת הבוטנט Mirai דרך Windows – כחלק ממאמץ מרוכז להפיל בוטנטים של Mirai ברחבי העולם. מהניתוח עולה כי הבוט ל-Windows נוצר על ידי מפתחים בעלי יכולות מתקדמות יותר מאשר התוקפים שערכו את מתקפות מניעת שירות מבוזרת, DDoS העצומות באוקטובר 2016 – שהתבססו על Mirai.

כזכור, באוקטובר 2016 קבוצת האקרים שמקורה, ככל הנראה, ברוסיה ובסין, נטלה אחריות על מתקפת הסייבר הענקית שאירעה אז. הקבוצה, ההאקרים של העולם החדש, הודיעה כי היא זו שאחראית למתקפת הענק שהביאה לנפילות ולשיבושים קשים ורבים של מאות אתרים בארצות הברית.

המתקפה נמשכה כחצי יממה ומאות אתרי אינטרנט נפגעו ממנה, ביניהם רבים וגדולים בעולם, דוגמת אמזון (Amazon) טוויטר (Twitter), נטפליקס (Netflix), Airbnb ,eBay, ספוטיפיי (Spotify), וכן אתרי מדיה וחדשות, כגון Financial Times, ניו יורק טיימס (New York Times) ו-CNN.

יעד המתקפה היה דיין (Dyn), חברת תשתיות אינטרנט וספקית שירותי DNS. המתקפה הסבה נזק רב יחסית, בכך שהתמקדה בחברת תשתיות אינטרנט ולא בלקוחותיה. המתקפות היו מסוג DDoS, היוצרות עומס רב על אתר במועד נתון – עד לקריסתו.

ההאקרים השתלטו על עשרות מיליוני רכיבים של אינטרנט של הדברים, בעזרת נוזקה בשם Miari ובכך העצימו את היקף הנזק. אותם רכיבים הם חסרי הגנת סייבר. ההאקרים ארגנו רשתות מחשב שמחוברות למכשירים ביתיים, כדי ליצור את הבוטנט המסיבי, שכיוון כמות עצומה, של 2.1 טריליון ביטים של מידע בכל שנייה – לעבר שרתי דיין.

שחקן חדש בעולם של Mirai

הנוזקה הנוכחית, להפצת Mirai ל-Windows, אמרו בקספרסקי, מתוחכמת ועמידה יותר מאשר הקוד הבסיסי המקורי של Mirai. אבל רוב הרכיבים, הטכניקות והיכולות של הקוד החדש הם בני כמה שנים. עם זאת, שיטת העבודה של הנוזקה מוגבלת: הקוד יכול להחדיר את הבוטים של Mirai ממערכת Windows נגועה אל מכשיר אינטרנט של הדברים מבוסס Linux, רק אם הוא מסוגל לבצע פריצת-כוח (brute-force) אל חיבור טלנט (Telnet) מרוחק.

על אף המגבלות שלו, נראה בבירור כי הקוד הוא תוצר של מפתחים מנוסים יותר, שהם כנראה בשחקן חדש בעולם של Mirai. ממצאים כגון שאריות של שפה בתוכנה, העובדה כי הקוד עבר קומפילציה (ההדרה) על מערכת סינית, ושרתי אירוח המוחזקים בטייוואן – מצביעים על כך שהמפתחים הם כנראה, דוברי סינית.

"התנועה בין פלטפורמת Linux ל-Windows מהווה דאגה ממשית, כמו גם הכניסה של מפתחים מנוסים יותר לזירה", אמר קורט באוגרטנר, חוקר אבטחה ראשי, קספרסקי.

"פרסום קוד המקור של הטרויאני לבנקאות Zeus בשנת 2011 הביא אחריו שנים של בעיות לקהילה המקוונת. פרסום קוד המקור של Mirai IoT bot ב-2016, כנראה יעשה את אותו הדבר. תוקפים מנוסים יותר, שמביאים עימם רמות גבוהות יותר של יכולות וטכניקות מתוחכמות, מתחילים למנף את זמינות הקוד של Mirai. יצירת בוטנט של Windows מאפשרת את ההפצה של Mirai למכשירים ולרשתות חדשים, שבעבר לא היו זמינים למפעילי Mirai. זו רק ההתחלה".

על פי נתוני ענקית האבטחה הרוסית, כמעט 500 מערכות שונות הותקפו ב-2017 על ידי הבוט החדש ל-Windows, כשהניסיונות אותרו ונחסמו. בהתבסס על המיקום הגיאוגרפי של כתובות IP שהופיעו בגל השני של ההתקפה, המטרות המרכזיות נמצאות בשווקים מתפתחים שהשקיעו רבות בטכנולוגיות רשת, כגון הודו, וייטנאם, ערב הסעודית, סין, אירן, ברזיל, מרוקו, וטורקיה.