Manu Pitkänen
24. lokakuuta, 2016 14:43
Isoihin verkkopalveluihin vaikuttaneessa palvelunestohyökkäyksessä käytettiin hyödyksi Mirai-haittaohjelman avulla luotua bottiverkkoa. Aiemmin haittaohjelmaa on hyödynnetty esimerkiksi tietoturvajournalisti Brian Krebsin verkkosivustolle kohdennetussa hyökkäyksessä.
Mirai-haittaohjelman tausta-ajatuksena on saastuttaa erilaisia Internet of Things -laitteita ja hyödyntää saastuneiden laitteiden tuottamaa verkkoliikennettä palvelunestohyökkäyksissä. Mirain saastuttamiin laitteisiin kuuluu esimerkiksi kiinalaisen Hangzhou Xiongmai Technologyn kehittämiä valvontakameroita, joiden suojaustaso on osoittautunut hyvin alhaiseksi. Xiongmain mukaan se on korjannut sen laitteissa esiintyneet puutteet syksyllä 2015, mutta markkinoilta löytyy edelleen useita päivittämättömiä laitteita, joissa käytetään heikkoja oletuskirjautumistunnuksia.
Viime perjantaina Mirain saastuttamat tuhannet tai miljoonat laitteet määrättiin tuottamaan verkkoliikennettä verkkoinfrastruktuuriratkaisuja toimittavan Dynin DNS-järjestelmään, jonka tukkeutumisen johdosta monet isot verkkopalvelut eivät toimineet tai ne toimivat hyvin hitaasti. Hyökkäys vaikutti muun muassa Twitterin ja Netflixin toimintaan. Palveluiden saatavuudessa ilmeni ongelmia lähinnä Yhdysvalloissa, mutta isku näkyi myös Euroopassa.
Mirain lähdekoodi julkaistiin aiemmin tässä kuussa, joten sen toimintaperiaate tunnetaan varsin hyvin. Haittaohjelma testaa ainakin 60 erilaista salasanan ja käyttäjätunnuksen yhdistelmää päästäkseen käsiksi kohdelaitteeseen. Mirailta voi suojautua muun muassa vaihtamalla IoT-laitteiden oletustunnukset toisiksi.