Ботнет Mirai: захват интернет вещей (IoT) и что нас ждёт дальше
10-07-2025
В октябре 2016 года большая часть Восточного побережья США на несколько часов «осталась без интернета»: Twitter, Netflix, Reddit и десятки других сервисов оказались недоступны — DNS‑провайдер Dyn не выдержал DDoS-атаки почти терабитной мощности. Главной целью стали вовсе не сервера, а массовые IoT-устройства: IP‑камеры и домашние роутеры, объединённые вредоносным Mirai.
С тех пор IoT‑рынок вырос до десятков миллиардов устройств и стремится к 40 млрд к 2030 году, из простого ботнета Mirai превратился в арсенал вредоносных модификаций, некоторые из которых достигали мощности атак свыше 5 Тбит/с.
В этой статье разберём, как работает вредоносное ПО Mirai, чем он опасен и почему корпоративные устройства — от IP-камер до роутеров — могут стать частью атаки против вас же.
Что такое Mirai?
Mirai — это вредоносное ПО, заражающее IoT‑устройства (камеры видеонаблюдения, роутеры, DVR, умные розетки) через открытые Telnet‑SSH‑порты и дефолтные учётные данные. После взлома устройство скачивает исполняемый файл, связывается с командно‑контрольным сервером (C&C) и превращается в «бота», который может получать инструкции на дальнейшее сканирование, рассылку спама или проведение DDoS‑атак.
Ключевая особенность Mirai — автоматический перебор 61 пары «заводских» логинов‑паролей вроде
admin/admin, root/12345, guest/guest. Благодаря именно этой простоте
ботнет собрал до 600 000 устройств на своём пике.
Основные цели владельцев ботнета:
- DDoS‑атаки на конкурентов или целевые сервисы.
- Спам и накрутка кликов в рекламных сетях.
- Продажа «мощностей» на подпольных биржах «стрессеров».
В зоне риска находится практически всё бюджетное IoT‑железо без автообновлений: дешёвые IP‑камеры, старые SOHO‑роутеры — даже умные чайники.
История зарождения и ключевые атаки
- 2016 — рождение. Студенты Парас Джа, Джозайя Уайт и Далтон Норман создавали Mirai для выбивания чужих Minecraft‑серверов, чтобы перетянуть игроков на собственный хостинг.
- Krebs on Security (620 Гбит/с). 20 сентября 2016 года блог кибер‑журналиста Брайана Кребса «лег» под рекордной на тот момент атакой.
- OVH (≈1 Тбит/с). Через две недели Mirai атаковал европейского хостера OVH, задействовав ~145 000 камер видеонаблюдения.
- Dyn (≈1,2 Тбит/с). 21 октября 2016 года сбой Dyn парализовал доступ к десяткам сервисов Fortune 500.
- Исходный код в открытом доступе. В начале октября 2016 автор под ником Anna‑senpai выложил исходники на Hackforums — это спровоцировало лавину клонов (Satori, Okiru, Masuta и др.).
- 2023 - 2025 — рекорды и криптомайнинг.
- NoaBot распространяется через SSH и устанавливает XMRig для майнинга Monero.
- Mukashi эксплуатирует уязвимость CVE‑2020‑9054 в NAS Zyxel.
- 5,6 Тбит/с — крупнейшая DDoS‑атака, зафиксированная Cloudflare в 2025 году, организована Mirai‑подобным ботнетом из 13 000 устройств.
Как работает Mirai: его техническая сторона
- Сканирование. Бот рассылает TCP SYN‑пакеты на порты 23/2323 (Telnet) и 22 (SSH), фиксируя IP‑адреса, которые отвечают.
- Перебор паролей. Используется список из 61 дефолтной пары логина‑пароля.
- Сообщение репорт‑серверу об успешном входе.
- Loader подключается и загружает исполняемый файл под архитектуру жертвы (ARM, MIPS, x86).
- Регистрация в C&C и получение команд (UDP‑флуд, TCP SYN, HTTP GET/POST и др.).
- Самоочистка. Mirai удаляет системные утилиты
wget/tftpи закрывает Telnet, чтобы не допустить «конкурентов».
Серверная часть и сам бот написаны на C, а сканер с самого начала был переписан на Go — это дало высокую параллельность и скорость работы.
Почему Mirai всё ещё актуален?
- Взрыв IoT‑экосистемы: прогноз к 2030 году — около 40 млрд устройств.
- Открытый исходник: любой может собрать «свою» версию с новыми атаками.
- Короткий жизненный цикл устройств: производители бюджетных гаджетов прекращают поддержку через 18–24 месяца.
- Монетизация майнингом: NoaBot доказал, что даже устаревший роутер способен приносить криптовалюту злоумышленнику.
- Рост мощности атак: рубеж в 5 Тбит/с уже пройден.
Как защититься от Mirai
| Мера | Что делать бизнесу | Почему это важно |
|---|---|---|
| Меняйте пароли по умолчанию | Задавайте уникальные, длинные пароли при вводе устройства в эксплуатацию | 61 «заводская» связка логина‑пароля — главный вектор атаки Mirai |
| Обновляйте прошивки | Заведите регламент, ответственного и календарь patch‑менеджмента | Производители закрывают уязвимости и дефолтные логины в новых версиях ПО |
| Закройте Telnet/SSH наружу | Используйте файрвол/ACL или VPN‑доступ только из админ‑сети | Mirai сканирует именно эти порты |
| Сегментация сети | Выделите IoT‑зону отдельным VLAN или Wi‑Fi SSID | Заражённый чайник не достанет корпоративный ERP |
| Мониторинг трафика | Используйте NetFlow/SFlow, IDS/IPS (Zeek, Suricata) и сигнатуры Mirai | Видно всплеск исходящего UDP‑трафика ещё до атаки |
| Отключайте ненужное | UPnP, облачные P2P‑сервисы, удалённое администрирование — всё, что не нужно, должно быть выключено | Меньше поверхностей атаки — меньше шанс заражения |
Быстрый чек‑лист: откройте список подключённых к Wi‑Fi устройств прямо сейчас — чужой «HiSilicon‑Camera» без пароля может уже участвовать в DDoS.
Заключение
Вредоносный Mirai стал наглядным примером того, как тысячи незащищённых IoT-устройств от лампочек до камер
превращаются в инструмент атаки, если производитель оставил стандартные пароли.123456. Сегодня
ботнет живёт собственной мутирующей жизнью: варианты для NAS, криптомайнеры и 5‑терабитные атаки. Пока защита
остаётся относительно простой: достаточно сменить заводские пароли, регулярно обновлять прошивки и изолировать
IoT-устройства в отдельный сегмент сети.
Распространённое мнение, что малый бизнес не попадает в зону риска, но на практике все не так. Mirai заражает устройства автоматически — без привязки к бренду или масштабу. Камера в переговорной может быть столь же уязвима, как оборудование крупного дата-центра.
Знание — сила! Потратьте час на аудит IoT-устройств, и ваш офис продолжит работать на вас, а не скрытым участником DDoS-атак.
