Firma Juniper Networks wydała ostrzeżenie, że urządzenia Session Smart Router (SSR) ze standardowymi, domyślnymi hasłami są celem nowej kampanii cyberataków, w której wykorzystywane jest złośliwe oprogramowanie Mirai. Zagrożenie to zostało potwierdzone po tym, jak kilku klientów zgłosiło nietypowe zachowania na swoich platformach Session Smart Network (SSN) w dniu 11 grudnia 2024 roku.
Zainfekowane systemy stały się celem dla Mirai, które po infekcji zostały wykorzystane jako źródło ataków typu DDoS na inne urządzenia dostępne z tej samej sieci. W komunikacie podkreślono, że w każdym przypadku problem dotyczył systemów, które działały na domyślnych hasłach użytkownika. Taka sytuacja, chociaż możliwa do uniknięcia, wciąż stanowi istotne zagrożenie, szczególnie w środowiskach, gdzie ochrona sieci nie jest wystarczająco zaawansowana.
Oprogramowanie Mirai, którego kod źródłowy został upubliczniony w 2016 roku, stale ewoluuje, poszerzając swój zakres działań o nowe warianty. Malware wykrywa luki w systemach bezpieczeństwa oraz urządzenia z domyślnymi danymi dostępowymi, aby wciągnąć je do swojej sieci botnetów. Sieci te są następnie wykorzystywane do przeprowadzania zmasowanych ataków DDoS, które mogą skutecznie zakłócać działalność nawet najpotężniejszych serwerów.
Aby zminimalizować ryzyko takich ataków, eksperci ds. bezpieczeństwa zalecają niezwłoczną zmianę haseł na silne i unikalne. Firmy i użytkownicy powinni również regularnie monitorować swoje logi dostępu w celu wykrycia podejrzanych aktywności, stosować zapory sieciowe do blokowania nieautoryzowanych połączeń oraz zapewniać regularną aktualizację oprogramowania w urządzeniach sieciowych.
W przypadku infekcji Mirai istnieje kilka wskaźników, które mogą pomóc w identyfikacji problemu. Wśród nich są między innymi: nietypowe skanowanie portów w systemie, częste próby logowania SSH (co może świadczyć o atakach brute-force), zwiększony ruch wychodzący do nieoczekiwanych adresów IP, losowe restarty urządzeń oraz połączenia z już znanymi, złośliwymi adresami IP. W przypadku wykrycia infekcji specjaliści zalecają natychmiastowe przeinstalowanie systemu, ponieważ nie ma możliwości dokładnego ustalenia, jakie dane mogły zostać zmodyfikowane lub wykradzione przez hakerów.
Co ciekawe, nowe zagrożenia związane ze słabo zabezpieczonymi serwerami nie ograniczają się jedynie do Mirai. Centrum Informacji o Bezpieczeństwie AhnLab (ASEC) odkryło niedawno, że źle zarządzane serwery Linux, szczególnie te z publicznie eksponowanymi usługami SSH, stają się celem zupełnie nowej rodziny złośliwego oprogramowania DDoS o nazwie cShell. To złośliwe oprogramowanie, napisane w języku Go, wykorzystuje narzędzia systemowe, takie jak screen i hping3, do wykonywania ataków DDoS.
Podnoszenie świadomości o takich zagrożeniach wśród użytkowników i administratorów sieci ma kluczowe znaczenie dla budowania bezpieczniejszych środowisk IT. Technologie rozwijają się szybko, a wraz z nimi pojawiają się nowe wyzwania w dziedzinie ochrony danych. Regularne aktualizacje zabezpieczeń, przemyślane zarządzanie hasłami oraz stosowanie odpowiednich praktyk bezpieczeństwa w sieci stają się fundamentem współczesnej cyberobrony.