Svět biologických virů je naprosto fascinující. Zatím jsme jen tak nakoukli dovnitř, ale to, co jsme tam už viděli, nám vyrazilo dech. Gigantické viry, genoví loupežníci, metaboličtí piráti, virofágy, a kdovíkdo ještě, žijí v podivuhodných ekosystémech. Naprosto bezuzdně zneužívají své nešťastné hostitele, někdy navzájem spolupracují a jindy si zase jdou nelítostně po krku.

Botnet Mirai, říjen 2017. Kredit: Incapsula.

Viry jsou našimi smrtelnými nepřáteli, ale někdy, v duchu zásady „nepřítel mého nepřítele je mým přítelem“, jsou vlastně na naší straně – jako například bakteriofágy, jediná stvoření, kterých se doopravdy bojí bakterie. A nejde jenom o živý svět. Poslední dobou se ukazuje, že v elektronickém světě bují ekosystémy, které jsou těm biologickým překvapivě podobné.

Loni se stal populárním červem Mirai (japonsky budoucnost). Je to hnusný malware, který nakazí zařízení připojená k internetu a běžící na starších verzích Linuxu. Mirai je promění v dálkové ovládané boty, které je možné použít jako součást botnetu pro rozsáhlé útoky na síti. Mirai infikuje především online zařízení, jak jsou IP (síťové) kamery nebo domácí routery.

Tohle svinstvo bylo vystopováno v srpnu 2016 a dnes víme, že botnet Mirai byl nasazen do nejrozsáhlejších a nejvíce ničivých online útoků poslední doby. Týká se to například mohutného útoku ze dne 20. 9. 2016 na investigativního novináře Briana Krebse (Krebs on Security DDoS attack), který se zabýval vyšetřováním botnetů anebo mnohonásobného útoku na významného amerického poskytovatele DNS dne 21. října 2016 (Dyn DDoS attack), o němž jsme psali na OSLU. Povaha útoků Mirai podle mínění odborníků ukazuje, že zřejmě nepůjde o běžné hackery. Původ Mirai naznačují i útržky ruštiny v kódu Mirai. Kromě DDoS se Mirai věnuje i těžbě bitconů. Velmi rychle se rozšířil po celém světě a ČR rozhodně není výjimkou.

Infekce červem Hajime. Kredit: Symantec.

Mirai se v mnoha ohledech chová jako virus v buňce. Vyhýbá se protivirovým opatřením jako biologické viry imunitnímu systému. Zároveň neustále skenuje internet a záludně se šíří, přičemž využívá tabulku více než 60 běžně užívaných továrních hesel. Pozoruhodné je, že se Mirai chová jako predátor, který likviduje konkurenci. Cíleně totiž likviduje jiné červy a trojské koně a rovněž zakazuje vzdálený přístup k nakaženému zařízení. Podle analytiků to dělá, aby maximalizoval útočný potenciál botnetu a aby se bránil proti podobným útokům od jiného malwaru. Běžný uživatel infekci Mirai obvykle nepozná, kromě toho, že občas zlobí připojení, ale kdo by se nad něčím takovým pozastavoval?

Brian Krebs. Kredit: B. Krebs.

V říjnu 2016 se objevil další z červů, který cílí na zařízení připojená k internetu. Nese jméno Hajime, tedy japonsky začátek. Tenhle červ je ale dost zvláštní. Přestože jeho původ a účel zůstávají nejasné, tak se zdá, že Hajime funguje jako vakcína proti Mirai. Používá stejnou tabulku hesel jako Mirai a infikuje veškerá nechráněná zařízení na internetu, k nimž se dostane. Tím ale podobnost s Mirai končí. Kód Hajime není vybaven k DDoS útokům, jenom se nenápadně šíří. Když nakazí nějakou kameru nebo router, tak zablokuje čtyři porty, o nichž je známo, že skrz ně proniká Mirai. Pak zanechá vzkaz, že je „white hat“, tedy od hackerů na světlé straně Síly, s podpisem Hajime Author.

Zní to jako pohádka. Dobrý červ pomáhá uživateli. Podobní červi skutečně existují, bývají za nimi třeba výrobci hardwaru nebo softwaru. Jenomže Hajime nemusí být tak bezzubý, jak vypadá. Nechová se moc legálně, intenzivně se šíří a ovládl již přes 300 tisíc zařízení po celém světě. Rozhodně není vyloučeno, že v určitou chvíli zradí a začne osnovat útoky. Jak je vidět v případě infekce Mirai, červi si konkurují a bojují mezi sebou. A když o sobě nějaký červ tvrdí, že jenom chrání internet, tak to může být skvělý trik proti konkurenci. Třeba Hajime čeká, jako když biologické viry v latentní, lyzogenní fázi čekají uvnitř buňky na vhodnou příležitost, a pak spustí devastující útok.

Ať už je Hajime beránek nebo vlk v rouše beránčím, každopádně pomáhá uživateli jenom dočasně. Stačí totiž zařízení „imunizované“ červem Hajime restartovat a imunita je pryč. Chráněné porty jsou opět otevřené a zranitelné infekcí Mirai. Jedinou známou spolehlivou léčbou proti Mirai a podobné verbeži tudíž zůstává aktualizování firmwaru zařízení připojených k internetu. A to červ Hajime za nikoho neudělá, stejně jako vštípení klíčové zásady měnit tovární hesla.

Video: Mirai Inside of an IoT Botnet

Mirai malware attack in less than a minute


Literatura
Extreme Tech 24. 4. 2017, Wikipedia (Mirai/malware)