В минувшие выходные автор трояна Mirai, известный под псевдонимом Anna-senpai, опубликовал исходные коды своего детища в открытом доступе, на портале Hack Forums. Исходные коды уже были перезалиты исследователями на GitHub (1 и 2).
По сути, Mirai работает просто: он сканирует интернет в поисках уязвимых для брутфорса и взлома IoT-устройств, доступных через telnet. Малварь поражает преимущественно камеры наблюдения, DVR и роутеры, а затем продолжает размножаться, подобно червю.
От DDoS-атак, осуществленных этим ботнетом недавно пострадал журналист Брайан Кребс и крупнейший в Европе хостинг-провайдер OVH. Пиковая мощность атак достигала 620 Гбит/с и более 1 Тб/с. Чтобы добиться таких результатов злоумышленники использовали UDP-, DNS- и HTTP-флуд, а также пакеты GRE (Generic Routing Encapsulation), что эксперты признали весьма необычным,
Теперь специалисты MalwareTech изучили работу трояна и связанного с ним ботнета и представили отчет в своем блоге. Для исследования эксперты подняли 500 серверов-ловушек, эмулирующих уязвимые IoT-девайсы, и собрали с них статистику. По их словам, оценки других специалистов были верны. Так, ранее представители OVH писали, что атаковавший их серверы ботнет насчитывает 145 607 камер и способен генерировать атаки мощностью до 1,5 Тб/с, используя tcp/ack, tcp/ack+psh и tcp/syn.
Выводы специалистов MalwareTech в целом совпадают с этими наблюдениями. Так, за двенадцатичасовой период исследователи зафиксировали порядка 72 000 уникальных IP-адресов, и 4000 новых IP появлялись каждый час. Из этого аналитики сделали вывод, что размеры ботнета весьма скромны – всего порядка 120 000 устройств в сутки. И хотя другие источники уверяют, что ботнет гораздо крупнее и называют цифры 1-1,5 млн ботов, с этим не согласны ни исследователи MalwareTech, ни специалисты компании Akamai.
«Mirai, который практически все игнорировали ранее, в силу простоты telnet-атак, на прошлой неделе стал едва ли не главным предметом обсуждения в СМИ по всему миру, а правоохранительные органы начали расследования, при поддержке множества международных компаний», — пишут исследователи. — «Весьма вероятно, что теперь мощные DDoS-атаки станут более распространенной практикой, так как хакеры будут находить все больше и уязвимых IoT-устройств или начнут заражать устройства, защищенные NAT. Производителям определенно пора прекратить выпускать устройства с глобальными паролями по умолчанию и переключиться на выпуск устройств со случайно сгенерированными паролями, указывая их на нижней части корпуса».
Банк России уточнил, что проверки на признаки мошенничества затронут не переводы самому себе через Систему быстрых платежей (СБП), а следующие за ними операции — когда клиент переводит деньги другому человеку, которому не отправлял средств минимум полгода.
Разъяснение появилось в официальном сообществе ЦБ во «ВКонтакте» после того, как слова главы департамента информационной безопасности Вадима Уварова вызвали бурное обсуждение.
В пресс-службе регулятора уточнили: речь идёт только о переводах свыше 200 тысяч рублей, и проверяться будут именно последующие переводы условно «незнакомым» людям, если им не отправлялись деньги в течение полугода.
«Таким образом, проверяться будет не перевод самому себе, а именно последующий перевод другому человеку», — подчеркнули в ЦБ.
По словам Уварова, такие схемы активно используют мошенники: они убеждают человека сначала перевести деньги себе по СБП, а потом направить их на «безопасный счёт».
ЦБ готовит новый приказ с расширенным перечнем признаков подозрительных операций — документ планируют опубликовать в ближайшее время. Предыдущий перечень был обновлён летом 2024 года.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
