بد افزار میرای (Mirai) که در سال گذشته به بیش از 500 هزار دستگاه متصل به اینترنت حمله کرده بود تنها آغازی بر نوع جدیدی از روشهای هک و فعالیتهای خرابکارانه در آینده خواهد بود. بر اساس تحقیقات امنیتی و پیش بینیهای شرکتهای مشاور امنیتی ، این فعالیتها شروعی بر عملیاتهای شرورانه ای خواهند بود که می تواند در آینده پیشرفته تر، هوشمندانه تر و مخرب تر باشند.
در وبیناری که توسط Memoori ، بوسیله Billy Rios موسس شرکت WhiteScope برگزار شد، به این واقعیت اشاره شد که کد منبع میرای در حال حاضر درفضای آنلاین در دسترس است و اینکه هکرهای دیگر برای بهبود و قوی تر کردن آن رویش کار کنند میتواند هشدار دهنده باشد.
بگفته Rios :
بطور قطع این بد افزار رشد می کند. هیچ کس نمی داند چه انگیزه ای باعث شده افراد یا گروهها دست به نوشتن کد و ساخت این بد افزار کنند و چرا آن را بصورت کد سورس باز منتشر کرده اند. فکر می کنم یکی از مشهور ترین تئوریها این است که Mirai چیز بخصوصی بوده که به دستگاههای Embedded یا دستگاههای تعبیه شده در سیستمها حمله می کند و علت منحصر به فرد بودن این بد افزار هم همین موضوع است.
این اساسا ویژگیهایی هم برای هر معماری پردازنده ای که تا به حال عرضه شده خواهد داشت. چیزی که مردم نسبت به آن مشکوکند این است که اگر یک گروه به استفاده از این بد افزار ادامه دهد ممکن است نوع دیگری از آن متولد شود. این بنوعی تلنگریست برای ایجاد قوانینی که جلوی چنین فعالیتهایی را بگیرد و سعی شود افرادی با این فعالیتها پیدا و دستگیر شوند.
Rios افزود :
همچنین هر کسی می تواند کد بد افزار را برداشته و با تغییر یا ایجاد کد جدید مورد نظرش به حملات پیچیده تری بر روی گروهی جدید متمرکز شود که رمزگشاییش سخت تر می شود.
Mirai آینده حملات سایبری
در ماههای آخر سال 2016 حملات میرای باعث شد یکی از بزرگترین و گسترده ترین حملات موسوم به DDoS(حملات گسترده برای از کار انداختن دستگاهها) رخ دهد. البته این بزرگترین حمله تاریخ نبود اما یکی از بزرگترین حملاتی بود که بصورت مستقیم مردم را نشانه گرفته بود.
معنی این وقایع این است که حملات DDoS دیگری هم وجود دارند که بزرگتر از چیزی خواهند بود که در بدافزار Mirai تجربه کردیم و می تواند از همان روشی که بد افزار میرای با افزایش درخواستهای به یک سیستم ایجاد کرد کمک گرفته و پیامدهای وسیعتری را توسط یک حمله DDoS بوجود آورد. میرای واقعا آنطور عمل نکرد و تنها بطور مستقیم دستگاهها را مورد هجوم قرار داده است.
هدف آنها دستگاههای مختلفی بودند که در دسترس هستند. بنابراین خیلی جذاب است که مردم فکر می کنند سیستمهای آنها نمی توانند هرکاری را که هکرها می خواهند انجام دهد و فکر می کنند همه چیز ایمن است. اگر بگوییم میرای فقط سعی کرد به وب سایتهای ژورنالیستی و خبرنگاری حمله کند ادعای درستی نیست. بنابراین فقط زیرساختهای حیاتی، منابع دولتی و شبکه های تجاری بزرگ نیستند که در خطرند بلکه فضاهای شخصی و دوربینهای مداربسته و سیستمهای امنیتی مسکونی و شخصی هم در معرض خطرند.
اخبار زیادی درباره شرکتهای چینی وجود دارد که اذعان می کند دستگاههای ساخته شده توسط آنها به نوعی درگیر این حملات هستند و افراد زیادی مثل آنهایی که روی شرکتهای چینی متمرکزند و تکنوژی DVR های آنها را استفاده می کنند و از تکنولوژی دوربینهای مدار بسته هوشمند آنها بهره می برند با این مشکل روبرو هستند. می خواهم به شما درباره تجربه کاری خودم بر روی Mirai نکاتی را بگویم و حسم را منتقل کنم. همه این داستانها با یک تماس تلفنی شروع شد. از شرکتی تماسی تلفنی دریافت کردیم و اتفاقا شرکت هم چینی نبود و در آمریکای شمالی واقع شده بود. آنها به ما زنگ زدند تا بگویند در وضعیتی قرار گرفته اند که به کمک ما نیاز دارند
در واقع مراجع قانونی آنها را از وضعیتی که در آن گرفتار شده اند با خبر کردند و آنها مجبور به تماس با ما شده بودند. مراجع قانونی به این تولیدکننده دوربین مداربسته درباره وقوع این مشکل در دستگاههای تولیدیشان اطلاعاتی دادند که بدانند مورد هجوم میرای قرار دارند و آنها دستگاههای بسیاری داشتند که تحت حملات DDoS آلوده شدند.
خواستم تا با توضیحاتی وضعیت آنها را در اینجا شرح دهم تا بطور واضح متوجه شوید. شرکت سازنده این دستگاهها اصلا متوجه نشده بود که دستگاههای تولیدیش به ارتش بزرگ بات نتها پیوسته اند و از آنها برای حمله به خبر نگاران، موسسات مالی و بعضی از زیرساختهای اصلی اینترنت استفاده شده است. آژانسهای مراجع قانونی به این شرکت سازنده درباره این موضوع توضیحاتی دادند و شرکت سازنده از شوک این موضوع هیچ ایده ای برای مقابله نداشتند تا اینکه مراجع قانونی از آنها نا امید و با ما تماس گرفتند.
WhiteScop به بررسی این بد افزار مشغول شد و نکات جالب متعددی دستگیرش شد. یک یا دو ماه بعد از آنکه بررسی آغاز شد، شخصی شروع به انتشار کدهای منبع میرای بر روی اینترنت کرد.
اولین چیزی که بنظر آن شخص یا اشخاص جالب می آمد این بود که Mirai می خواهد بر روی دستگاههای Embedded یا تعبیه شده در داخل تجهیزات قابلیت انجام عملیات داشته باشد. اگر یک سیستم کنترل اتوماسیون ساختمان یا ترموستات داشته باشید که با سیستم عامل عملگر لحظه ای کار می کند، میرای بخوبی بر روی آن کامپایل شده و بوسیله آن سیستم عامل یا معماری پردازشگر مشابه، شروع به کار می کند.
چیزی فراتر از حملات DDoS
مورد دیگری که Mirai را متمایز می کند به تنظیمات و ساختار ساده آن باز می گردد. این نشان می دهد که Mirai قابلیتهای زیادی در آینده دستگاههای خودمختار خواهد داشت که می تواند به افراد اجازه دهد دستگاهها را آنطور که می خواهند کنترل کنند. این یعنی کسی در شبکه شما قرار دارد. بنابراین توجهات زیادی بر روی خود حملات DDoS متمرکز شد درحالی که این یک یادآوری است که اگر دستگاه شما در این حملات مورد هدف قرار گرفت بمعنی این خواهد بود که کسی عملا به شبکه داخلی شما دسترسی خواهد داشت و می تواند دستگاههای شما را کنترل نماید.
این چیزی بود که WhiteScope سعی کرد اذهان عمومی به آن توجه کنند. خصوصا زمانی که این هشدارها را دریافت کردند، عنوان کردند که دستگاهی در تشکیلات آنها نقش یک مهاجم را در تجهیزات زیربنایی و حساس اینترنت بازی می کند.
DDoS تنها یک هجوم است که بخودی خود بد است اما چیزی که کاربران نیاز دارند بفهمند این خواهد بود که دستگاهها در معرض خطرند. هرکسی که در این حملات شرکت می کند می تواند از دستگاهها برای نفوذ به شبکه های داخلی استفاده کند.
میدانیم که در شبکه سیستم نظارت تصویری (CCTV) شما یا در HVAC و سیستم کنترل دسترسی معمولا از حداقل یک شبکه بصورت مجزا معمولا استفاده می شود.
بنابراین اگر شما فهمیدید که دستگاه شما در حملات DDoS شرکت می کند باید حملات را متوقف کنید اما متوجه شوید که آیا کسی یا نرم افزاری از دستگاه شما برای استفاده از شبکه داخلی شما استفاده کرده یا نه.
بد افزار Mirai ذاتا در نوع حملات به یک یا دو شکل خاص محدود نمی شود و شکلهای گوناگونی از این بد افزار در کدهای منبع آن طراحی و پیش بینی شده اند.