Появился отчёт об активности ботнета Mirai

В последние месяцы мы часто слышали о мощных DDoS-атаках, которые происходили из-за ботнета Mirai. Так в октябре под атаку попала крупная компания Dyn, в ноябре Mirai отключил 900 000 пользователей от интернета в Германии. Mirai отличный инструмент для заработка и многие люди уже готовы заплатить за уроки по тому как пользоваться ботнетом.

Исследователи «Лаборатории Касперского» провели расследование активности ботнета, цель его была выяснить его устройство и узнать какие задачи преследуют владельцы столь крупного ботнета.

Анализ исходного кода показал, что Mirai состоит из целого ряда компонентов, это управляющий сервер, компонент приёма сканирования, который отвечает за результаты работы ботнета, компонент загрузки, и сканер, который сканирует сеть и ведёт поиск новых адептов.

При попытке подключения к новому боту Mirai использует список из логинов и паролей. По мнению экспертов, в нынешний момент список был крайне расширен, так как добавили большое количество новых сочетаний, что доказывает развитие ботнета.

Для оценки активности ботнета исследователи «Лаборатории Касперского» установили сервер с открытым telnet-портом. Через три минуты после его запуска была зафиксирована первая попытка подключения к нему. Было обнаружено два факта, доказывающие, что попытки подключения велись со стороны Mirai и его модификаций. Первое учётные записи, вводимые ботами были в оригинальном ботнете, второе большинство попыток подключения было с инфицированных IOT-устройств.

Эксперты считают, что комбинации логин/пароль помогают понять какие устройства, интересны ботнету. Сочетания «root:xc3511» и «root:vizxv» являются учётными записями ко многим Ip-камерам китайских производителей.

По данным «Лаборатории Касперского» на 3 декабря активность ботнета сильно снизилась, но по мнению исследователей пока слишком рано делать какие-либо выводы.