נוזקת Mirai (מיראי)

Mirai הינה תוכנה זדונית שמתמקדת בהפיכת מכשירי IOT (האינטרנט של הדברים) המריצים את מערכת ההפעלה לינוקס לבוטים הנשלטים מרחוק, ובסופו של דבר לחלק מרשת בוטנט רחבת היקף עבור ביצוע מתקפות סייבר, בדגש על מתקפת מניעת שירות מבוזרת (DDOS). התוכנה התגלתה לראשונה באוגוסט 2016 והיא אחראית על כמה ממתקפות הDDOS הגדולות והמשמעותיות ביותר שהתרחשו בשנים האחרונות, כמו מתקפת הסייבר על Dyn, המתקפה שהתרחשה ב20 בספטמבר 2016 כלפי אתר האינטרנט של עיתונאי אבטחת המחשבים המוערך בריאן קרבס (מתקפה שגרמה לAkamai, ששירות הפחתת הDOS הפופולרי שלה שימש את הבלוג של קרבס להודיע כי היא מורידה את האתר שכן אינה יכולה לשאת את המתקפה, שהינה גדולה פי 2 ממתקפת הDOS הגדולה ביותר שהכירה עד כה), המתקפה הממושכת נגד אוניברסיטת ראטגרס בין 2014-2016, מתקפת הענק על שרת אירוח האינטרנט הצרפתי OVH בספטמבר 2017 ועוד.

במהלך הבחירות לנשיאות ארה"ב ב2016 קונן חשש מרכזי בארה"ב כי Mirai הינה נוזקה שנכתבה ע"י מדינה זרה במטרה להשפיע על הבחירות בעזרת שיתוק שירותי אינטרנט רבים במהלך יום הבוחר, אלא שבפועל, כפי שהתגלה מאוחר יותר לאחר חקירת הFBI, מאחורי הנוזקה עמדו שלושה צעירים אמריקאים בני 21. לטענתם, הם פיתחו את הנוזקה רק בשביל להשיג יתרון במשחק המחשב הפופולארי מיינקראפט. 'booter service' היה נחשב לשירות פופולארי בעולם המשחקים המקוון ובמסגרתו היה ניתן לרכוש סיוע של מכשירים אחרים בהבסת שחקן יריב במהלך משחק ראש בראש בעזרת יצירת עומס על השחקן היריב והאטת משחקו. השלושה טענו כי פיתחו את הנוזקה רק עבור יצירת שירות זהה למשחק הפופולארי. למעשה, מתקפת הענק שערכו כלפי שרת אירוח האינטרנט הצרפתי (אפרופו מתקפת ענק: מאוחר יותר, טענה OVH כי היא הודפת מעל ל1,000 מתקפות מניעת שירות מידי יום. אלא שכאן היה מדובר במתקפה בסדר גודל עצום של 1.1TB לשנייה במעורבות של קרוב ל150,000 מכשירים) הייתה רק בשל העובדה שOVH סיפקה למיינקראפט שירותי הפחתת DDOS שפגעו בשירות שפיתחו יוצרי Mirai.

Mirai הייתה ועודנה נחשבת בעיני רבים לאיום קיומי על האינטרנט. צורת הפעולה של Mirai עובדת בצורה כזו שהוא סורק את רשת האינטרנט בחיפוש אחר מוצרי IOT המשתמשים בפרטי ברירת המחדל של היצרן (המצב הקיים כיום ברוב מוצרי הIOT). לאחר שגילה כאלו, היה Mirai מזין את הפרטים ומשתלט עליהם. לאחר ההשתלטות, היו המכשירים הנפרצים מצטרפים לסריקה אחר מכשירים נוספים, עד ליצירת רשת בוטנט אימתנית. חוקרי אבטחה שחקרו את Mirai טענו כי הוא הדביק כמעט 65,000 מכשירים ב-20 השעות הראשונות לאחר יצירתו, כאשר מספר זה הוכפל בכל שעה ורבע, עד ליצירת רשת בוטנט בגודל של בין 200 ל300 אלף מחשבים נגועים. יש לציין כי קוד המקור של Mirai תוכנן בצורה כזו שהוא דילג על מכשירים אשר כתובת הip שלהם הייתה מזוהה עם ממשלות וגופי ביון. אגב, לאחר ההשתלטות על המכשיר, אם היה מזהה Mirai תוכנות זדוניות נוספות שנמצאות על המכשיר, הוא היה מסיר אותן על מנת להשיג בלעדיות ואפקטיביות מקסימלית. למעשה, הדרך היחידה להסיר את Mirai היא ביצוע אתחול מחדש של המכשיר, אלא שאם לאתחול זה לא מצטרף גם שינוי סיסמת המכשיר, Mirai חוזר ומשתלט על המכשיר תוך דקות ספורות.

יוצרי Mirai נחשפו, לאחר שחברות אבטחה ואירוח שונים יצרנו honeypots עבור Mirai (מלכודות דבש – שרת שמתחזה לשרת אמיתי, במטרה לגרום לתוקפים לתקוף אותו ובכך מתאפשר ליוצרי המלכודת לתמרן אותם / לצפות בפעילות שלהם ולהגן על המערכות האמתיות). חוקרי האבטחה שתפעלו את הhoneypots הופתעו לראות שמרבית הפניות מהמכשיר, לאחר שהוא חווה השתלטות של mirai, הופנו לשרתי מיינקראפט. משם, הקשר בין שירות הbooter service וMirai נחשף מהר מאד, עד להגעה לספקי השירות, יוצרי הנוזקה. אגב, הראשון שחשף את זהות האיש העומד מאחורי הנוזקה היה קרבס, שכאמור, אתרו ספג מתקפה של Mirai. קרבס חשף כי המוח החיה מאחורי Mirai הוא פאראס ג'ה, סטודנט באותה אוניברסיטת ראגטס שהותקפה שנים קודם לכן. הטענה של ג'ה לתקיפת האוניברסיטה שלו הייתה בעיות שחווה במערך ההסעות שלה, כן כן.

פוסט של קרבס שעוסק בעונש שהטיל בית המשפט על ג'ה

אגב, במטרה להסית את האחריות מהם אם ייתפסו, הפיצו יוצרי Mirai את גרסת המקור של הנוזקה בפורומים שונים וכיום ניתן למצוא אותה בGithub. דליפת קוד המקור של Mirai הפכה אותה לנוזקת הIOT הפופולרית ביותר בשנים האחרונות, בפער גדול. למעשה, גם רבים מהנוזקות האחרות שניתן למצוא במתקפת השונות על מוצרי הIOT, מבוססות על קוד המקור של Mirai, עם שינויים קטנים.

גרסאות נוספות של Mirai שנוצרו עם השנים הן התוכנות הזדוניות: Wicked ,Okiru, OMG ,Miori , Master, PureMasuta ,Hakai .Yowai ,SpeakU.

תחביר נהדר עבור איתור Mirai בעזרת כללי YARA ניתן למצוא בGithub, כאן

Related Post