Arhiva tag-ul pentru: mirai

Mirai Botnet – România – Implicare – Detecție

Botnet-ul Mirai, pare a nu mai fi un super subiect, deși exploatează o gamă largă de dispozitive aflate online.

Ce face Mirai Botnet? Simplu! Am mai discutat despre el!
https://www.prodefence.ro/mirai-botnet-berbew-backdoor-ip-urile-de-iot-din-romania-folosite-in-activitati-ilegale/

De asemenea, au existat și alte avertizări!


Execută comenzile hackerilor, indiferent care ar fi acestea: scanarea altor dispozitive, furt de date, forțarea datelor de acces, distribuire de malware …etc.
Dar, principala utilizare a fost integrarea acestora într-o armată digitală, deservind la atacuri în masă a altor rețele, cunoscutele atacuri DDOS.
Simplicat la maxim… face ca dispozitivul infectat să devină un sclav al dorințelor hackerilor.

Sursă: imperva.com

Partea interesantă este că botnet-ul se instalează în dispozitive mai puțin securizate și mai puțin verificate de deținători: routere, console gaming, dispozitive smart folosite în locuințe etc, astfel fiind mai greu de detectat activitățile acestuia.

Detecție

Sursă:https://threatmap.checkpoint.com/

Detecția botnet-ului este simțită deseori de deținători, dar ignorată.. din lipsă de educație cibernetică și este trecută la categoria ”..iar face figuri net-ul..”

Când este sesizabilă acțiunea unui botnet?
Atunci când primește comanda de scanare a altor dispozitive sau în cazul unui atac de tip DDOS, deoarece folosește foarte mult trafic.
Dar dacă este setat să acționeze în intervale de timp bazate pe fusul orar, cel mai probabil va folosi traficul atunci când noi suntem la somn sau în afara orelor de muncă.

Avem și 2 variante mai bune de detecție.

Varianta de contractare a unui specialist sau instalarea unei aplicații de monitorizare/ alertare.
Monitorizarea traficului, analizarea acestuia și descoperirea dispozitivului/ lor compromise.
*Această variantă este pentru Instituții, firme private sau persoane care vor sa stie ce se întâmplă cu dispozitivele lor.

Sau folosirea platformelor online, în speranța că IP-ul folosit a fost interceptat ca având activități suspicioase.

Un astfel de tool este Mirai tracker!
Arată ultima activitate stocată și o serie de alte platforme, care sunt sursa tracker-ului.

De exemplu, pentru a găsi IP-urile de România, se adaugă ”RO” în căsuța de Search.

Iar adresa finală va fi: https://mirai.security.gives/index.php?search=RO

*la fel poate fi folosit pentru orice altă țară!

O altă platformă foarte folosită este GreyNoise.

Rezultatele sunt destul de clare. 370 de Ip-uri au sau avut legătură cu semnatura botnet-ului Mirai.

De asemenea, se poate folosi Google search. Se adaugă IP-ul dorit, iar rezultatele vă vor indica prezența acestuia pe anumite platforme.

Pentru evitarea unor situații, cel mai bine este să evitați folosirea unor dispozitive vechi sau care nu permit actualizarea.
Iar dacă totuși ”..iar face figuri net-ul..” prea des, este bine să anunțați firma de la care aveți internet, IT-istul Instituției unde lucrați sau un specialist care să vă îndrume.

Dacă vei alege varianta clasică: ”Nu are ce să îmi ia mie!” și vei ignora, nu faci decât să accepți faptul că ajuți la succesul ilegalităților cibernetice. Casa sau biroul tău, vor fi un punct de trecere deschis, pentru infractorii cibernetici.

În rest, totul ok!

Mirai botnet – Berbew backdoor – Ip-urile de IoT din Romania folosite in activitati ilegale.

Nu mai este o noutate în a avea acasă sau la birou un router, camere Ip, frigidere smart, Smart Tv, încuietori de ușă, console gaming sau orice altceva din gama IoT. Foarte multe Ip-uri au in inventarul lor diferite dispozitive conectate la internet, iar o parte din ele sunt vulnerabile la atacuri hacking sau setările sunt slabe, din punct de vedere al securității cibernetice.
Metodele de hacking au evoluat, nu este nevoie sa caute un dispozitiv anume, sau un oarecare IP pentru ca hackerul sa planteze un virus, nu! In fiecare secundă mii de aplicații scanează tot ce miscă pe internet și caută vulnerabilitați în funcție de: dispozitiv,an fabricatie, vulnerabilitate, tara etc, forțează logarea cu parole de producător (admin/admin , admin/password, root/password, admin/123456 .. etc).
În momentul când aplicațiile au găsit ceva, fie raportează și hackerul merge mai departe, fie instalează direct ceea ce sunt programate să instaleze pe dispozitivele accesate.
Dacă vă gândiți la ce poate să facă cu aceste dispozitive… nu este greu de clarificat!
Activitățile ilegale vor fi stabilite în funcție de: puterea și capacitățile dispozitivului, rețeaua de internet, program online, țara de proveniență etc.


Sursă: researchgate.net

Care ar fi aceste activități?
Scanare pentru a găsi alte dispozitive,
Atac împotriva altor dispozitive, cunoscutul DDOS care poate bloca rețele, instituții, spitale.
Folosirea IP-ului pentru furt bancar, fraude… da! Ghici la cine vine Poliția prima data?
Cam tot ce vă puteți imagina, sau nu!

Și da, noi ne ocupam de Romania!
Liste intregi de IP-uri deținute de Romania sunt folosite la astfel de infracțiuni cibernetice!

Am câteva exemple active, pentru a putea înțelege fenomenul.

86.123.xxx.126 static-86-123-xxx-126.rdsnet.ro
89.121.xxx.159 adsl89-121-xxx-159.romtelecom.net
82.79.150.xxx 84.150.xxx.82.static.cluj.rdsnet.ro
79.118.xxx.239 79-118-xxx-239.pitesti.rdsnet.ro
212.93.xxx.120 212-93-xxx-120.static.rdsor.ro
188.24.xxx.94 188-24-xxx-94.rdsnet.ro
… puțin modificate, pentru a nu da idei!
Revenim, ce sunt aceste IP-uri? Camere conectate la internet, televizoare, console gaming sau orice altceva este conectat la internet!
Dispozitive ce pot aparține unei case, unei firme, camerele unui spital, sau sau sau…

Ce au in comun aceste IP-uri și toate celelalte Ip-uri gasite? Anumite fișiere, ce nu ar trebui să fie pe respectivele dispozitive!
Și mai au în comun niște fișiere: i, Mozi, apk, mips, arm, arm7, mps1, sh, sh4, sparc, exe, zip, doc


Clar că acel 38/59 NU este de bine, iar tag-urile incadrate cu roșu sunt de la ceva suspicios.
Dacă vreți, puneți pe Google și vedeți că am dreptate.

Descrierea celor 2 exemple Mirai și Berbew backdoor se gaseste tot pe Google și destul de explicativă, dar mă repet, Nu este de bine!

Problema este însă cu mult mai gravă. Așa cum am menționat într-un articol acum ceva timp, prin 2019, erau 12,382 Ip-uri folosite pentru activități ilegale și discutăm despre cele descoperite la vremea aceea.

Ce se poate face?
Aici răspunsul nu este chiar simplu!
Din punctul nostru de vedere, un prim pas ar fi ca firmele de internet sa iși mareasca spectrul filtrelor pentru a depista problemele, când cumpărăm un dispozitiv smart, ar trebui să cautăm ceva actualizat, setările dispozitivelor să fie facute corect(schimbare nume dispozitiv, schimbare parolă, control al dispozitivelor ce se conectează.. etc), cand nu stim… să căutam ajutor la cei ce se pricep … sunt multe de facut, dar de multe ori totul se rezumă la resurse; un dispozitiv bun costa, o filtrare mai amănunțită reduce traficul, apelarea la specialiști in securitate cibernetică costă.

Listă cu IP-uri suspecte:
https://www.malwareurl.com/listing.php?as=AS8708&active=on&view=all


Așa că fiecare decide în funcție de valoarea pe care o dă vieții sale private, protejarea familiei, a bunurilor, a firmei, a reputației.
Unii înțeleg în timp util, alții doar după ce au devenit victime sau indiferența lor a dăunat altor persoane dragi.

Nu știu ce vei face, dar eu închei aici acest articol, menționând un ultim lucru:
Toate aceste articole scrise pe anumite subiecte, securitatea cibernetică… in cazul nostru, sunt create pentru a vă ajuta!
Și sperăm să rămâneți cu ceva după tot ceea ce ați citit!

Atenție la detalii!!!

Informațiile introduse în articol sunt publice.
Sursa: Google