Mirai-bottiverkko on ottanut haltuunsa tuhansien suomalaisten modeemeja

Mirai-bottiverkon leviää aktiviisesti maailmalla. Suomessa on havaittu noin 16 000 laitteen saastuneen. Saastuneita laitteita käytetään hyväksi uusien uhrien löytämisessä ja esimerkiksi palvelunestohyökkäyksissä.

Mirai-haittaohjelma on erikoistunut erilaisten verkkoon kytkettyjen laitteiden saastuttamiseen. Sen alkuperäinen versio etsii verkosta laitteiden internetiin avoimia palveluita ja murtautuu niihin kokeilemalla lukuisia eri tunnus/salasanayhdistelmiä. Mirai-haittaohjelman lähdekoodi on julkaistu aiemmin internetissä ja jo tällöin oli selvää että Miraista tullaan näkemään erilaisia muunnoksia.

Nyt havaittu versio etsii verkosta laitteita joiden etähallinta on toteutettu portissa TCP/7547 ja yrittää ottaa laitteen haltuunsa haavoittuvuutta hyväksikäyttäen.

Leviäminen Suomessa

Mirai-bottiverkko alkoi 25.11.2016 selvästi entistä aktiivisemmin skannata haavoittuvia laitteita Suomessa. Skannaus kohdistuu erityisesti TCP-porttiin 7547, jossa useissa verkkolaitteissa on laitteen etähallintaan tarkoitettu palvelinohjelma. Tietyissä laitemalleissa ohjelmiston ja laitteiston kokoonpano on haavoittuva. Haavoittuvuutta hyväksikäyttäen kyseiset laitteet on mahdollista ottaa hyökkääjän täyteen hallintaan.

Mirain saastuttamia laitteita oli Suomessa ennestään joitakin satoja. Viikonlopun ja maanantain aikana uusia tartuntoja tuli ainakin 16 000.

Mirai-bottiverkkoa on viime kuukausien aikana käytetty erittäin suuriin palvelunestohyökkäyksiin verkkosivustoja vastaan. Mirai-bottiverkolla ei kuitenkaan ole nähty viikonlopun ja alkuviikon aikana tehdyn ainakaan suuria palvelunestohyökkäyksiä.

Vaikutusten rajoittaminen

Etähallintaan käytetään yleisesti porttia TCP/7547, mutta joissain tapauksissa myös porttia TCP/5555. Näitä laitteita on kuitenkin vain pieni määrä ja kyseisessä portissa tiedetään toimivan myös muita palveluita, joten sen suodattamisella ei saada vastaavia hyötyjä kuin portin 7547

Bottiverkon leviämisen ja sillä tehtävien hyökkäysten estämiseksi Viestintävirasto on suositellut teleyrityksille TCP-porttiin 7547 menevän liikenteen suodattamista. Myös mahdollisuuksia suodattaa bottiverkon komentopalvelinliikennettä selvitetään.

Viestintävirasto muistuttaa kaikkia verkkolaitteiden omistajia niiden hallintasalasanojen muuttamisen tärkeydestä. Hallintakäyttöliittymien salasanat tulee vaihtaa ennen kuin laitteet kytketään internetiin. Tarpeettomat palvelut kannattaa sulkea hallintakäyttöliittymän kautta.

Lisätietoja:


Päivityshistoria

Asiasanat: Tietoturva , Bottiverkko , Esineiden internet IoT , Laajakaista , Mobiililaajakaista , Modeemi , Nollapäivähaavoittuvuus , Salasana , Verkkolaite , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248