נחשפה גרסה חדשה של הנוזקה מיראי: מנצלת קוד פתוח להפצתה

סימנטק גילתה באחרונה יישום חדש של הנוזקה מיראי (Mirai), שמנצל פרויקט קוד פתוח לצורך הפצתה. חוקרי ענקית אבטחת המידע עלו על גל יישומים חדש של הנוזקה, Linux.Mirai, שממנף פרויקט קוד פתוח על מנת לקדם טכניקות הפצה בין פלטפורמות.

ראשיתה (לפחות זו הגלויה) של מיראי באוקטובר 2016, עת ערכו האקרים מתקפת מניעת שירות מבוזרת (DDoS) ענקית, שהביאה לנפילה של מאות אתרים לזמן ארוך.

על פי סימנטק, הבוטנט מסוגל לרוץ על ארכיטקטורות ופלטפורמות שונות בתוך סביבת עבודה עצמאית, המבטיחה ריצה תקינה ומלאה ומונעת אפשרות לתצורה שגויה – דבר שהופך את הנוזקה לניידת ביותר. בעוד שהחוקרים כבר ראו התנהגות כזו קודם לכן, היישום הנוכחי מעניין במיוחד, בשל הקוד המקופל שלו וכיוון שהוא נוצר באמצעות פרויקט קוד פתוח, שנקרא Aboriginal Linux. פרויקט זה, לדבריהם, הופך את הקומפילציה (ה-ההדרה) לכלל הפלטפורמות לתהליך קל, יעיל וכמעט חסין מפני כישלון.

"כיוון שכך, היישומים של הנוזקה שנוצרים עמידים יותר ותואמים למגוון נרחב של ארכיטקטורות והתקנים", אמר דינש ונקטסן, מהנדס ניתוח האיומים הראשי של סימנטק. "הדבר מאפשר את פעילות התוכנה במגוון רחב של מכשירים, ובכלל זה נתבים, מצלמות IP, התקנים מחוברים ואפילו מכשירי טלפון מבוססי אנדרואיד".

ונקסטן הוסיף כי מצב זה יוצר עוד יותר רווחיות עבור יוצרי הנוזקות, ומניע אותם להמשיך ולפתח תוכנות זדוניות כמו Linux.Mirai. זאת, כיוון ששוק האינטרנט של הדברים מבוזר מאוד, ורוב ההתקנים המחוברים אינם מקבלים תיקוני תוכנה עבור חולשות ידועות. כך, הן הופכות למטרות קלות ומבוקשות.

על מנת להימנע מפגיעה על ידי נוזקה דוגמת Linux.Mirai, החוקרים של סימנטק ממליצים למשתמשים לחקור את היכולות ואת תכונות אבטחת המידע של התקני אינטרנט של הדברים לפני הרכישה, לבחון בצורה מעמיקה את מכשירי ה-IoT הקיימים ברשת שלהם ולוודא שכל פרטי ההתחברות הראשוניים שלהם הוחלפו. בנוסף, על המשתמשים לבטל תכונות ושירותים שאינם נדרשים, להשבית או להגן על גישה מרוחקת למכשירי אינטרנט של הדברים שאין בהם צורך, ולבדוק עדכונים לעתים תכופות.

אריק וולובסקי, מנהל תחום הנדסה בסימנטק ישראל, ציין כי "מקובל להתייחס לאיומים בעולמות האינטרנט של הדברים ככאלה השייכים לתחום התשתיות הפרטיות. אבל זו טעות והסיכון לארגונים אינו פחות, כי מקומות העבודה הופכים לדיגיטליים והמפעלים נכנסים לעידן התעשייתי 4.0 עם, למשל, שימוש במצלמות אבטחה בארגונים, רישות הארגון במדפסות חכמות, טלוויזיות בחדרי הישיבות ומקררים בחדרי האוכל. כך, משטח התקיפה גדול הרבה יותר מבעבר ומשטח הפגיעות גדל".

לדבריו, "רכיבי ה-IoT משמשים ככלי שרת וכאמצעי על מנת להגיע לבטן הרגישה ולנתוני הארגון. לכן, יש להקצות יותר משאבים לניהול ולניטור התנהגות חשודה ברשת, תוך התבססות על יכולות ניתוח מתקדמות, מניעת חדירה ועוד. בגלל האיומים המשתנים ומורכבותם, בלתי אפשרי לגלות את כולם, אבל ניתן למנוע מהם לנצל חולשות ולפגוע בתשתיות ובמידע של הארגון".

האינטרנט של הדברים – הזדמנות פז עבור התוקפים

חוקרי אבטחת מידע ציינו בעבר את הגידול בהיקף רכיבי האינטרנט של הדברים כהזדמנות פז עבור התוקפים. בהתקפת הענק שערכו ההאקרים באוקטובר 2016, הם הפיצו את הנוזקה מיראי לרכיבי אינטרנט של הדברים, ועל בסיסה ערכו מתקפות מבוזרות.

המתקפה, שהביאה לנפילות ולשיבושים קשים ורבים במאות אתרים בארצות הברית, נמשכה כחצי יממה, ובין האתרים שנפגעו ממנה נמצאים eBay, אמזון, Airbnb, טוויטר, נטפליקס, ספוטיפיי וכן אתרי מדיה וחדשות. יעד המתקפה היה דיין (Dyn), חברת תשתיות אינטרנט וספקית שירותי DNS. ההאקרים הסבו נזק רב יחסית, בכך שהתמקדו בחברת תשתיות אינטרנט ולא בלקוחותיה.