זוהתה גרסה חדשה של הנוזקה Mirai, שתוקפת נתבים ומתגים

חוקרים זיהו גרסה חדשה של הנוזקה Mirai – ארבע שנים אחרי שהיא התגלתה, וסווגה כאחת הנוזקות האגרסיביות ביותר. החוקרים, מ-UNIT 42 – יחידת המחקר של פאלו אלטו, חשפו באחרונה כי התוקפים השתמשו בגרסה החדשה של הנוזקה בשורה של ניסיונות פריצה מתמשכים למתגים ונתבי תקשורת. הם ציינו שהתוקפים ניצלו לא פחות משמונה פגמים בציוד תקשורת פופולרי כדי לנסות להשתלט מרחוק על המכשירים.

אופן הפעולה של התוקפים הוא כזה: לאחר הפריצה למכשיר, הם מנסים להוריד אליו נוזקה, כדי שזו תפעיל את גרסת Mirai החדשה. באופן זה, ניתן "לגייס" את המכשירים הנגועים להיות חלק מבוטנט – רשת בוטים נגועים המשמשים לתקיפות ספאם או להפצות של מתקפות מניעת שירות מבוזרות (DDoS).

על פי חוקרי פאלו אלטו, "זוהי תזכורת לשבריריות של האינטרנט של הדברים – אותם התקנים שנמצאים בבתים ובעסקים ברחבי העולם, כמו גם לעוצמתה המתמשכת של נוזקת Mirai". הם ציינו כי "הנוזקה יודעת לתקוף כל התקן אינטרנט של הדברים, ואלה חשופים – כיוון שחברות רבות, כך מתברר, עדיין משתמשות בברירת מחדל להגדרות אבטחה, למרות הסכנה בפריצה".

קצת היסטוריה

ראשיתה (לפחות זו הגלויה) של נוזקת Mirai באוקטובר 2016, עת ערכו האקרים מתקפת מניעת שירות מבוזרת ענקית, שהביאה לנפילה של מאות אתרים לזמן ארוך. קבוצה בשם ההאקרים של העולם החדש – שמקורה, ככל הנראה, ברוסיה ובסין – נטלה אחריות על מתקפה זו. הקבוצה הודיעה שהיא זו שאחראית למתקפת הענק, שהביאה לנפילות ולשיבושים קשים ורבים של מאות אתרים בארצות הברית. המתקפה נמשכה כחצי יממה ומאות אתרי אינטרנט נפגעו ממנה, ביניהם רבים וגדולים בעולם, דוגמת אמזון, טוויטר, Airbnb, נטפליקס, eBay, ספוטיפיי וכן אתרי מדיה וחדשות, כגון פייננשל טיימס, ניו-יורק טיימס ו-CNN.

יעד המתקפה היה דיין (Dyn), חברת תשתיות אינטרנט וספקית שירותי DNS, שהשרתים שלה ממוקמים בניו-המפשייר. החברה המותקפת הודיעה כי כעבור שעתיים מתחילת המתקפה היא הצליחה להדוף אותה. כמה שעות לאחר מכן החלה מתקפה שנייה, שהסבה שיבושים רבים למשך שעות רבות. האזור הגיאוגרפי שהכי סבל מהמתקפה היה צפון מזרח ארצות הברית, אולם תקלות נרשמו גם במערב המדינה, לצד שיבושים בגלישה באסיה ובאירופה. מומחי אבטחה ציינו כי המתקפה הסבה נזק רב יחסית, בכך שהתמקדה בחברת תשתיות אינטרנט ולא בלקוחותיה.

מתקפות DDoS כמו זו יוצרות עומס רב על אתר במועד נתון – עד לקריסתו. במתקפה ב-2016 השתלטו ההאקרים בעזרת Mirai על עשרות מיליוני רכיבים של אינטרנט של הדברים חסרי הגנת סייבר, ובכך העצימו את היקף הנזק. ההאקרים טענו כי ארגנו רשתות מחשב שמחוברות למכשירים ביתיים כדי ליצור את הבוטנט המסיבי, אשר כיוון כמות עצומה, של 2.1 טריליון ביטים של מידע בכל שנייה, לעבר שרתי דיין.

לפי מומחי אבטחה, השימוש ברכיבים כ-"זומבי" (מכשיר המשמש לתקיפה מרחוק ללא "ידיעתו") מקל על פעולת ההאקרים, שלא נזקקים רק למחשבים ביתיים. כך, כבר כיום יש בבית אמריקני ממוצע 13 רכיבי אינטרנט של הדברים. מקצועני האבטחה ציינו כי כיוון שהמתקפות הללו לא פוגעות בדרך כלל בחברות מוצרי האלקטרוניקה שמייצרות את המכשירים או בלקוחות שמשתמשים בהם, הרי שליצרנים אין תמריץ להעלות את רמת האבטחה של רכיבים אלה.

גרסאות של Mirai המשיכו להופיע בשנים שחלפו מאז, כולל אחת שלפי הדיווחים שימשה לתקיפת בנקים וסוכנויות ממשלתיות בהולנד ב-2018. לפני כשנה דיווחו חוקרי UNIT 42 על גרסה נוספת של Mirai שלדבריהם, יכולה לתת לבוטנט "עוצמת אש" בניהול מתקפות DDoS.