نتحدث في هذا التقرير عن آلية Mirai Botnet ، حيث أن مسيرته مع باراس جاي بدأ قبل 3 أعوام، مثل طريقة لربح المال في لعبة Minecraft وانتقل ليصير أحد أخطر البرمجيات الضارة Malware على الشبكة، وقد كان من أبرز الهجمات التي نفذها على Dyn’s Servers قبل 3 سنوات ما أدى إلى تعطيل الشبكة العنكبوتية عبر الساحل الشرقي للولايات المتحدة بأكمله، وبسبب اقتراب الانتخابات الرئاسية، ساد الاعتقاد بأنه هجوم معني باستهداف دولة أمريكا.
آلية عمل آلية Mirai Botnet
لكي تفهم آلية العمل لا بد من أن تعرف آلية Botnet، حيث أن عدد كبير من الحواسيب التي جرى توصيلها على الشبكة والخاضعة لكي تحكم عن بعد عن طريق جهة خارجية تقوم بالسيطرة على فعاليتها ووظائفها دون أن يعرف المستعمل هذا.
فمثلًا انتشار انترنت الأشياء Internet of Things وضعف خصائص الحماية الخاصة به، بالإضافة إلى استعمال أجهزته الخاص بنظام تشغيل Linux، جعلت منه هدفا مرغوبا لهجمات الـ Botnets؛ مثل Mirai Botnet.
ويجرى استعمال Mirai لائحة من 61 تركيبة من أسماء المستعملين وكلمات السر الأكثر انتشارًا بين أجهزة إنترنت الأشياء على الأقل، إذ أنه يجرى البحث في الشبكة عن أجهزة ضعيفة، ومهاجمة أكبر عدد منها بغرض التحكم بها والقيام بإدخالها في عملية هجوم من نمط (Disturbed Denial of Service (DDoS على أي موقع، وبه يجرى تضخيم تدفق البيانات على الموقع بشكل كبير خارج عن نطاق تحمله ما يدفعه للإغلاق.
بعض خصائص Mirai
يكون في الإمكان إطلاق هجوم على مستوى الشبكة بالإضافة إلى تدفق HTTP (وهو عبارة عن نوع من DDoS)، كما أنه يقوم بتجنب عناوين IP محددة (عنوان IP الذي يرجع إلى وزارة الدفاع الأميركية على سبيل المثال)، وبعدما يصيب جهاز ما، يبحث عن برمجيات ضارة أخرى موجودة ضمنه ويمحيها ليكون المتحكم الوحيد بالجهاز.
عودة Mirai Botnet
قبل أن تُلقي القبض على مؤسسي Marai، سربت الكود في محاولة لتصعيب عملية تتبع أثرهم بالإضافة إلى فسح المجال أمام مخترقين آخرين للتعديل عليه واستعماله، ومن ثم فقد ظهرت إصدارات جديدة من Mirai تُزود بمجال واسع من الاكسبلويت Exploits تجعلها أكثر خطورة وانتشارا، كما أنها توجهت إلى مهاجمة أجهزة IoT في الشركات مثل المتحكمات اللاسلكية العالية الاستطاعة، أنظمة الإشارة الرقمية، وأنظمة العرض اللاسلكية.
كيفية الحماية من Mirai Botnet
يجب أن تستعلم وأن تبحث عن قدرات الحماية الخاصة بأجهزة IoT قبل أن تشتريها، ويجب أن تثبت تحديثات Firmware والإضافات بعدما تُصدر مباشرة، ويجب أن تغير كلمة السر لشكل مستمر وتأكد من أنها قوية، وراقب حجم تدفق البيانات من كل جهاز يوجد على الشبكة؛ حيث أن الجهاز الذي أصابته هذه البرمجية سيمنح تدفقًا أعلى بشكل واضح.
ويجب أن تعطل Universal Plug and Play UPnP على الموجهات Routers إلا في الحالات الخطيرة والهامة، وعطل أو احمي إمكانية الدخول إلى أجهزة IoT عن بعد إلا عند الحاجة، ويجب أن تعيد إقلاع الجهاز المشكوك بإصابته؛ مع العلم أن فعل ذلك يمكن أن يؤدي إلى المساهم في التخلص من الـ Malware الموجود، ولكن لن يمنع الإصابة مرة أخرى.