Mokymai

Botnetas „Reaper“ arba „IoTroop“

2017-11-06

Viena iš didžiausių kibernetinių grėsmių šiame dešimtmetyje – botnetai. „Botas“ – trumpinys nuo žodžio „robotas“, o botnetas yra užvaldytų tinklo įrenginių (kompiuterių, maršruto parinktuvų, internetinių kamerų ir pan.) tinklas. 2017 m. rugsėjį Kinijos IT saugumo bendrovė „Qihoo 360“ aptiko besiformuojantį „IoT“ (angl. Internet of Things) botnetą, kuris turi tokius pavadinimų variantus: „Reaper“, „Reaper IoT“, „IoTroop“.

Kai kurios „Reaper“ ypatybės

Vienas žinomiausių „IoT“ botnetų vadinamas „Mirai“. „Reaper“ turi tam tikrų panašumų, pvz., naudoja dalį „Mirai“ programinio kodo. Tačiau esama ir nemažų skirtumų:

  • „Reaper“ nebando „nulaužti“ slaptažodžių, naudoja sudėtingesnius atakos būdus, pavyzdžiui – išnaudoja įrenginių saugumo spragas;

  • turi programavimo kalbos „Lua“ aplinką; esant poreikiui, tai leidžia piktavaliams sukurti papildomą botneto funkciją;

  • internete esančių įrenginių (t. y. potencialių botneto narių) skenavimas yra vykdomas lėčiau; jei intervalas tarp vienetinių skenavimų yra 5 minutės ar daugiau, ugniasienei tokį skenavimą sunku aptikti, nes skenavimo metu siunčiami duomenų paketai atrodys atsitiktiniai;

  • savo laiku pagal „augimo“ spartą „Mirai“ pastebimai aplenkė „Reaper“: atitinkamai apie 10 000 ir 2 300 naujų įrenginių, užvaldytų per 1 dieną.

Botneto infrastruktūroje esantys agentai, siekdami perimti įrenginių valdymą, dažniausiai skenuoja 34 prievadus, iš kurių 17 yra įrašyti į programinį kodą (angl. hardcoded): 80-84, 88, 1080, 3000, 3749, 8001, 8060, 8080, 8081, 8090, 8443, 8880, 10000. Pagal spalio pabaigos duomenis didžiausias botų skaičius yra šiose šalyse: Kinija, Italija, Singapūras, JAV, Vietnamas, Turkija, Pietų Korėja, Tailandas, India, Iranas.

 

Paveikti įrenginiai

Botneto agentas išnaudoja egzistuojančias saugumo spragas „IoT“ įrenginiuose: IP kamerose, maršruto parinktuvuose, diskų talpyklose (angl. storage boxes), „Wi-Fi“ prieigos stotelėse. Spragų tipų pavyzdžiai: „Remote Command Execution“, „Command Injection Vulnerability“. Paveikti šių gamintojų įrenginiai: D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology.

Esama įvairių skaičiavimo metodikų. Pvz., kibernetinio saugumo įmonė „BullGuard“, pritaikydama savo vidinius ir įmonės „Gartner“ duomenis, gavo išskirtinai didelį rezultatą – pažeidžiami gali būti iki 378 mln. įrenginių. Pagal „Qihoo 360“, yra virš 2 mln. įrenginių, kurie gali būti užvaldyti artimiausioje ateityje. IT saugumo įmonės „Arbor Networks“ teigimu, „Reaper“ keliamas pavojus yra mažesnis, nei manyta iš pradžių, tačiau vis tiek yra pakankamai didelis.

Pavojus

Pagrindinis „Reaper“, „Mirai“ ir kitų botnetų keliamas pavojus – masinės paslaugos trikdymo atakos. Tokių atakų metu kenkimo srautas aukos įrenginio ar tinklo kryptimi siunčiamas vienu metu iš daugybės įrenginių, esančių botneto sudėtyje. Apie 100 000 įrenginių, 2016 m. spalio m. buvusių „Mirai“ sudėtyje, įvykdė ataką prieš JAV DNS paslaugų teikėją „DynDNS“. Atakos pasekmės – neatsidarančios populiarios interneto svetainės – jautėsi visame pasaulyje, įskaitant Lietuvą.


CERT-LT rekomendacijos

Pagal lapkričio 2 d. duomenis, CERT-LT padalinys nebuvo užfiksavęs susijusių incidentų Lietuvoje. Rekomenduojame:

  • jei jūsų tinklo įrenginio gamintojas yra išleidęs naują vidinės programinės įrangos (angl. firmware) versiją, įdiegti ją;

  • būtinai pakeisti savo maršruto parinktuvo gamyklinį (angl. default) slaptažodį – tai padidins įrenginio saugumą;

  • tinkamai valdyti visus savo slaptažodžius (nenaudoti 1-o slaptažodžio keliose sistemose, naudoti sudėtingus slaptažodžius ir t. t.);

  • išjungti nereikalingas tinklo paslaugas (angl. services);

  • apriboti viešai pasiekiamas tinklo paslaugas taip, kad jos būtų pasiekiamos tik tam, kam reikia.

  • pasinaudoti CERT-LT tikrinimo įrankiu.


 

Papildoma informacija (anglų k.):

  • „Qihoo 360 Netlab“ duomenys: I dalis ir II dalis

  • „Arbor Networks“ įžvalgos

  • „Check Point Software Technologies“ įžvalgos

  • Tinkamas maršruto parinktuvo konfigūravimas  (skyreliai „Secure Router Configuration - Start With This“ ir „Secure Router Configuration in Detail“).

Susiję mūsų pranešimai:

 

Visi pranešimai