Uma tática frequentemente empregada por agentes maliciosos para amplificar seus ataques cibernéticos envolve o uso de redes de bots, conhecidas como botnets.
Uma botnet é essencialmente uma rede composta por computadores que foram comprometidos por software malicioso e que estão sob o controle remoto de um invasor. Este invasor, encarregado de controlar este grupo de dispositivos infectados, é denominado “bot herder”. Cada dispositivo infectado individualmente é chamado de “bot”.
Os criadores de botnets detêm o comando e controle sobre o conjunto de computadores comprometidos, permitindo-lhes conduzir ataques cibernéticos em uma escala significativamente maior. Botnets têm sido notavelmente utilizadas em ataques de negação de serviço em grande escala, campanhas de phishing, distribuição de spam e roubo de informações.
Um exemplo notório de malware que ganhou notoriedade por sequestrar dispositivos digitais para formar botnets de grande escala é o Mirai Botnet. Mirai é um malware de botnet que explora vulnerabilidades em dispositivos da Internet das Coisas (IoT) que funcionam com Linux.
Após a infecção, o Mirai assume o controle do dispositivo IoT, transformando-o em um bot que pode ser controlado remotamente. Este bot, por sua vez, pode ser integrado em uma botnet para lançar ataques cibernéticos massivos. O Mirai foi desenvolvido usando as linguagens C e GO.
Este malware ganhou destaque em 2016, quando foi usado em um ataque de negação de serviço distribuído (DDoS) contra a DYN, um provedor de Sistema de Nomes de Domínio (DNS). O ataque impediu que inúmeros usuários da internet acessassem sites populares como Airbnb, Amazon, Twitter, Reddit, Paypal, Visa, entre outros.
O malware Mirai também foi responsável por ataques DDoS contra o site de segurança cibernética Krebs on Security e a empresa francesa de computação em nuvem OVHCloud.
Como o Mirai foi Criado
O malware Mirai foi criado por Paras Jha e Josiah White, que eram estudantes universitários na época e também fundadores da ProTraf Solutions, uma empresa que oferecia serviços de mitigação de DDoS. O Mirai Malware foi desenvolvido usando as linguagens de programação C e Go.
Inicialmente, o objetivo do Mirai era derrubar servidores concorrentes do Minecraft por meio de ataques DDoS, visando angariar mais clientes ao eliminar a concorrência.
O uso do Mirai evoluiu para esquemas de extorsão. A dupla lançava ataques DDoS contra empresas e, em seguida, entrava em contato com as empresas atacadas oferecendo serviços de mitigação de DDoS.
A Mirai Botnet atraiu a atenção das autoridades e da comunidade de segurança cibernética após ser utilizada para derrubar o site Krebs on Security e em seu ataque contra a OVH. Quando a Mirai Botnet começou a ganhar as manchetes, os criadores divulgaram o código-fonte do Mirai Botnet em um fórum de hackers acessível ao público.
Esta ação foi provavelmente uma tentativa de encobrir seus rastros e evitar a responsabilização pelos ataques DDoS realizados com a Mirai Botnet. O código-fonte do Mirai Botnet foi utilizado por outros criminosos cibernéticos, resultando na criação de variantes do Mirai Botnet, como Okiru, Masuta, Satori e PureMasuta.
Os criadores da Mirai Botnet foram posteriormente capturados pelo FBI. No entanto, eles não foram detidos e receberam sentenças mais leves por terem cooperado com o FBI na captura de outros criminosos cibernéticos e na prevenção de ataques cibernéticos.
Como Funciona a Mirai Botnet
Um ataque da Mirai Botnet geralmente envolve as seguintes etapas:
- Inicialmente, a Mirai Botnet varre endereços IP na internet para identificar dispositivos IoT que executam Linux no processador Arc. Em seguida, ela busca e ataca dispositivos que não estão protegidos por senha ou que estão usando credenciais padrão.
- Depois de identificar dispositivos vulneráveis, o Mirai tenta acessar a rede por meio de uma variedade de credenciais padrão conhecidas. Caso o dispositivo esteja usando as configurações padrão ou não esteja protegido por senha, o Mirai faz login e infecta o dispositivo.
- A Mirai Botnet verifica se o dispositivo já foi infectado por outro malware. Se for o caso, ela remove todos os outros softwares maliciosos, garantindo que seja o único malware presente no dispositivo, o que lhe dá mais controle.
- Um dispositivo infectado pelo Mirai passa a fazer parte da Mirai Botnet e pode ser controlado remotamente a partir de um servidor central. O dispositivo então aguarda comandos do servidor central.
- Os dispositivos infectados são usados para infectar outros dispositivos ou como parte de uma botnet para realizar ataques DDoS de grande escala em sites, servidores, redes ou outros recursos acessíveis na internet.
É importante ressaltar que a Mirai Botnet possuía intervalos de IP que não eram visados ou infectados. Isso incluía redes privadas e endereços IP atribuídos ao Departamento de Defesa dos Estados Unidos e ao Serviço Postal dos Estados Unidos.
Tipos de Dispositivos Visados pela Mirai Botnet
O alvo principal da Mirai Botnet são dispositivos IoT que usam processadores ARC. De acordo com Paras Jha, um dos criadores da bot Mirai, a maioria dos dispositivos IoT infectados e utilizados pela Mirai Botnet eram roteadores.
No entanto, a lista de possíveis vítimas da Mirai Botnet inclui outros dispositivos IoT que utilizam processadores ARC.
Isso pode incluir dispositivos domésticos inteligentes, como câmeras de segurança, babás eletrônicas, termostatos e TVs inteligentes; dispositivos vestíveis, como rastreadores de atividades físicas e relógios; e dispositivos IoT médicos, como monitores de glicose e bombas de insulina. Dispositivos IoT industriais e dispositivos IoT médicos que utilizam processadores ARC também podem ser vítimas da botnet Mirai.
Como Detectar uma Infecção por Botnet Mirai
A Mirai Botnet foi projetada para ser discreta em seu ataque e, portanto, detectar que seu dispositivo IoT está infectado com a Mirai Botnet não é uma tarefa fácil. No entanto, existem sinais que podem indicar uma possível infecção. Aqui estão alguns indicadores que podem sinalizar uma possível infecção Mirai Botnet em seu dispositivo IoT:
- Conexão de internet lenta – a botnet Mirai pode causar lentidão na sua internet, pois seus dispositivos IoT são usados para lançar ataques DDoS.
- Tráfego de rede incomum – Se você monitorar regularmente sua atividade de rede, poderá notar um aumento repentino no tráfego ou solicitações enviadas para endereços IP desconhecidos.
- Desempenho reduzido do dispositivo – Seu dispositivo IoT com desempenho abaixo do ideal ou exibindo comportamento incomum, como desligar ou reiniciar sozinho, pode indicar uma possível infecção por Mirai.
- Alterações nas configurações do dispositivo – A Mirai Botnet pode alterar as configurações de seus dispositivos IoT ou configurações padrão para facilitar a exploração e o controle futuros. Se você notar alterações nas configurações de seus dispositivos IoT sem ter sido o responsável, isso pode indicar uma possível infecção pela Mirai Botnet.
Embora existam sinais que podem indicar uma infecção, é possível que você não os perceba facilmente, simplesmente porque a Mirai Botnet foi projetada para ser difícil de detectar. Portanto, a melhor abordagem é evitar que a Mirai Botnet infecte seus dispositivos IoT.
No entanto, se você suspeitar que um dispositivo IoT foi infectado, desconecte-o da rede e só o reconecte após a eliminação da ameaça.
Como Proteger Seus Dispositivos da Infecção Mirai Botnet
A principal estratégia da Mirai Botnet para infectar dispositivos IoT é testar diversas configurações padrão conhecidas para verificar se os usuários ainda estão utilizando as configurações predefinidas.
Se este for o caso, o Mirai consegue fazer login e infectar os dispositivos. Portanto, uma medida essencial para proteger seus dispositivos IoT da Mirai Botnet é evitar o uso de nomes de usuário e senhas padrão.
Certifique-se de alterar suas credenciais e usar senhas difíceis de adivinhar. Você pode utilizar um gerador de senhas aleatório para criar senhas únicas e imprevisíveis.
Outra medida importante é atualizar regularmente o firmware do seu dispositivo e instalar os patches de segurança assim que forem lançados. Muitas vezes, as empresas lançam patches de segurança quando vulnerabilidades em seus dispositivos são descobertas.
Portanto, a instalação imediata de patches de segurança pode ajudá-lo a se antecipar aos invasores. Se o seu dispositivo IoT tiver acesso remoto, considere desativá-lo caso não precise dessa funcionalidade.
Outras medidas que você pode tomar incluem monitorar regularmente sua atividade de rede e segmentar sua rede doméstica, de modo que os dispositivos IoT não sejam conectados a redes críticas em sua casa.
Conclusão
Embora os criadores da Mirai Botnet tenham sido presos pelas autoridades, o risco de infecção da Mirai Botnet ainda persiste. O código-fonte da Mirai Botnet foi disponibilizado ao público, o que resultou na criação de variantes letais da Mirai Botnet. Essas variantes visam dispositivos IoT e têm maior controle sobre os dispositivos.
Portanto, ao adquirir dispositivos IoT, os recursos de segurança oferecidos pelo fabricante do dispositivo devem ser uma consideração importante. Adquira dispositivos IoT com recursos de segurança que evitem possíveis infecções por malware.
Além disso, evite usar as configurações padrão em seus dispositivos e atualize regularmente o firmware do seu dispositivo, instalando os patches de segurança mais recentes sempre que forem lançados.
Você também pode considerar a utilização de ferramentas EDR aprimoradas para detectar e responder rapidamente a ataques cibernéticos.