Main blog image

Ботнет Mirai: захват интернет вещей (IoT) и что нас ждёт дальше

10-07-2025


В октябре 2016 года большая часть Восточного побережья США на несколько часов «осталась без интернета»: Twitter, Netflix, Reddit и десятки других сервисов оказались недоступны — DNS‑провайдер Dyn не выдержал DDoS-атаки почти терабитной мощности. Главной целью стали вовсе не сервера, а массовые IoT-устройства: IP‑камеры и домашние роутеры, объединённые вредоносным Mirai.

С тех пор IoT‑рынок вырос до десятков миллиардов устройств и стремится к 40 млрд к 2030 году, из простого ботнета Mirai превратился в арсенал вредоносных модификаций, некоторые из которых достигали мощности атак свыше 5 Тбит/с.

В этой статье разберём, как работает вредоносное ПО Mirai, чем он опасен и почему корпоративные устройства — от IP-камер до роутеров — могут стать частью атаки против вас же.

Что такое Mirai?

Mirai — это вредоносное ПО, заражающее IoT‑устройства (камеры видеонаблюдения, роутеры, DVR, умные розетки) через открытые Telnet‑SSH‑порты и дефолтные учётные данные. После взлома устройство скачивает исполняемый файл, связывается с командно‑контрольным сервером (C&C) и превращается в «бота», который может получать инструкции на дальнейшее сканирование, рассылку спама или проведение DDoS‑атак.

Ключевая особенность Mirai — автоматический перебор 61 пары «заводских» логинов‑паролей вроде admin/admin, root/12345, guest/guest. Благодаря именно этой простоте ботнет собрал до 600 000 устройств на своём пике.

Основные цели владельцев ботнета:

  • DDoS‑атаки на конкурентов или целевые сервисы.
  • Спам и накрутка кликов в рекламных сетях.
  • Продажа «мощностей» на подпольных биржах «стрессеров».

В зоне риска находится практически всё бюджетное IoT‑железо без автообновлений: дешёвые IP‑камеры, старые SOHO‑роутеры — даже умные чайники.

История зарождения и ключевые атаки

  • 2016 — рождение. Студенты Парас Джа, Джозайя Уайт и Далтон Норман создавали Mirai для выбивания чужих Minecraft‑серверов, чтобы перетянуть игроков на собственный хостинг.
  • Krebs on Security (620 Гбит/с). 20 сентября 2016 года блог кибер‑журналиста Брайана Кребса «лег» под рекордной на тот момент атакой.
  • OVH (≈1 Тбит/с). Через две недели Mirai атаковал европейского хостера OVH, задействовав ~145 000 камер видеонаблюдения.
  • Dyn (≈1,2 Тбит/с). 21 октября 2016 года сбой Dyn парализовал доступ к десяткам сервисов Fortune 500.
  • Исходный код в открытом доступе. В начале октября 2016 автор под ником Anna‑senpai выложил исходники на Hackforums — это спровоцировало лавину клонов (Satori, Okiru, Masuta и др.).
  • 2023 - 2025 — рекорды и криптомайнинг.
    • NoaBot распространяется через SSH и устанавливает XMRig для майнинга Monero.
    • Mukashi эксплуатирует уязвимость CVE‑2020‑9054 в NAS Zyxel.
    • 5,6 Тбит/с — крупнейшая DDoS‑атака, зафиксированная Cloudflare в 2025 году, организована Mirai‑подобным ботнетом из 13 000 устройств.

Как работает Mirai: его техническая сторона

  1. Сканирование. Бот рассылает TCP SYN‑пакеты на порты 23/2323 (Telnet) и 22 (SSH), фиксируя IP‑адреса, которые отвечают.
  2. Перебор паролей. Используется список из 61 дефолтной пары логина‑пароля.
  3. Сообщение репорт‑серверу об успешном входе.
  4. Loader подключается и загружает исполняемый файл под архитектуру жертвы (ARM, MIPS, x86).
  5. Регистрация в C&C и получение команд (UDP‑флуд, TCP SYN, HTTP GET/POST и др.).
  6. Самоочистка. Mirai удаляет системные утилиты wget/tftp и закрывает Telnet, чтобы не допустить «конкурентов».

Серверная часть и сам бот написаны на C, а сканер с самого начала был переписан на Go — это дало высокую параллельность и скорость работы.

Почему Mirai всё ещё актуален?

  • Взрыв IoT‑экосистемы: прогноз к 2030 году — около 40 млрд устройств.
  • Открытый исходник: любой может собрать «свою» версию с новыми атаками.
  • Короткий жизненный цикл устройств: производители бюджетных гаджетов прекращают поддержку через 18–24 месяца.
  • Монетизация майнингом: NoaBot доказал, что даже устаревший роутер способен приносить криптовалюту злоумышленнику.
  • Рост мощности атак: рубеж в 5 Тбит/с уже пройден.

Как защититься от Mirai

Мера Что делать бизнесу Почему это важно
Меняйте пароли по умолчанию Задавайте уникальные, длинные пароли при вводе устройства в эксплуатацию 61 «заводская» связка логина‑пароля — главный вектор атаки Mirai
Обновляйте прошивки Заведите регламент, ответственного и календарь patch‑менеджмента Производители закрывают уязвимости и дефолтные логины в новых версиях ПО
Закройте Telnet/SSH наружу Используйте файрвол/ACL или VPN‑доступ только из админ‑сети Mirai сканирует именно эти порты
Сегментация сети Выделите IoT‑зону отдельным VLAN или Wi‑Fi SSID Заражённый чайник не достанет корпоративный ERP
Мониторинг трафика Используйте NetFlow/SFlow, IDS/IPS (Zeek, Suricata) и сигнатуры Mirai Видно всплеск исходящего UDP‑трафика ещё до атаки
Отключайте ненужное UPnP, облачные P2P‑сервисы, удалённое администрирование — всё, что не нужно, должно быть выключено Меньше поверхностей атаки — меньше шанс заражения

Быстрый чек‑лист: откройте список подключённых к Wi‑Fi устройств прямо сейчас — чужой «HiSilicon‑Camera» без пароля может уже участвовать в DDoS.

Заключение

Вредоносный Mirai стал наглядным примером того, как тысячи незащищённых IoT-устройств от лампочек до камер превращаются в инструмент атаки, если производитель оставил стандартные пароли.123456. Сегодня ботнет живёт собственной мутирующей жизнью: варианты для NAS, криптомайнеры и 5‑терабитные атаки. Пока защита остаётся относительно простой: достаточно сменить заводские пароли, регулярно обновлять прошивки и изолировать IoT-устройства в отдельный сегмент сети.

Распространённое мнение, что малый бизнес не попадает в зону риска, но на практике все не так. Mirai заражает устройства автоматически — без привязки к бренду или масштабу. Камера в переговорной может быть столь же уязвима, как оборудование крупного дата-центра.

Знание — сила! Потратьте час на аудит IoT-устройств, и ваш офис продолжит работать на вас, а не скрытым участником DDoS-атак.