Botnet OMG: Twoje urządzenie IoT też może zostać serwerem proxy

4 kwietnia, 2018

Analitycy z laboratorium FortiGuard Labs firmy Fortinet napotkali nowy wariant botnetu Mirai, który w 2016 roku został wykorzystany do przeprowadzenia ataków DDoS na popularne serwisy internetowe. Odmiana o nazwie OMG przekształca urządzenia IoT w serwery proxy, które pozwalają cyberprzestępcom zachować anonimowość.

Przypomnijmy: Mirai, wykorzystując urządzenia Internetu rzeczy, doprowadził do wyłączenia w październiku 2016 roku takich serwisów jak Netflix, Spotify czy Reddit. To złośliwe oprogramowanie było aktywne także w Polsce. Według danych CERT Polska w 2016 roku Mirai przejmował nawet do 14 tysięcy urządzeń dziennie. Wszystkie z nich miały jedną wspólną cechę: pozostawione fabryczne ustawienia bezpieczeństwa, które zostały z łatwością ominięte przez cyberprzestępców. Warto przy tym wspomnieć, że trzej autorzy Mirai zostali zidentyfikowani – przyznali się do winy i zapłacili wysokie grzywny.

Botnet OMG

Botnet OMG i handel serwerami proxy

Od momentu uruchomienia Mirai analitycy z FortiGuard Labs rozpoznali wiele jego nowych odmian. Mirai został pierwotnie zaprojektowany do przeprowadzania ataków DDoS, jednak późniejsze modyfikacje poszły m.in. w kierunku cryptojackingu. Bazujące na Mirai nowe warianty różnią się od oryginału także zastosowaniem nowych technik. Służą one do wykorzystywania luk w zabezpieczeniach i są zdolne do ataków na szerszą skalę.

Jedną z najbardziej interesujących nowych odmian Mirai jest botnet OMG, który zamienia urządzenia IoT w serwery typu proxy (pośredniczące). Takie serwery zapewniają anonimowość, przez co są cenne dla cyberprzestępców. W ten sposób można wykorzystać cudze urządzenie do przeprowadzenia ataku, włamania się do systemu lub wyłudzenia okupu. Sposobem zarabiania na serwerach proxy jest także sprzedawanie dostępu do nich innym cyberprzestępcom. Zdaniem specjalistów Fortinet właśnie taki model działania przyjęli autorzy OMG.

Analitycy wskazują także na fakt, że OMG zachowuje oryginalne moduły Mirai. Oznacza to, że może wykonywać te same procesy, co jego pierwowzór.

To pierwszy taki przypadek, kiedy widzimy zmodyfikowaną wersję Mirai zdolną nie tylko do ataków DDoS, ale również do wykorzystywania urządzeń IoT jako serwerów proxy. W związku z tym spodziewamy się, że w nieodległej przyszłości pojawią się kolejne boty oparte na Mirai, dające cyberprzestępcom nowe możliwości zarabiania.

– komentuje Robert Dąbrowski, szef zespołu inżynierów Fortinet.

Jak chronić swoje IoT?

Przede wszystkim należy pamiętać o tym, że każde urządzenie łączące się z internetem, które mamy w domu, może zostać zainfekowane przez cyberprzestępców. W związku z tym zaleca się:

  • regularną kontrolę aktualizacji wszystkich urządzeń podłączonych do sieci, a także systemów operacyjnych, aplikacji i przeglądarek;
  • instalację oprogramowania antywirusowego;
  • regularne skanowanie urządzeń podłączonych do sieci pod kątem wirusów i malware;
  • instalację firewall’a;
  • zadbanie o odpowiednio silne hasło oraz zastosowanie dwuskładnikowej weryfikacji dostępu.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]