A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet Eseményészlelési Szakterülete által felügyelt Elosztott Kormányzati Csapdarendszerére naponta több százezer esemény érkezik be a nyílt internet felől. A begyűjtött adatok segítségével új támadási minták és indikátorok ismerhetőek fel.
Az egyik új trend, amit a csapdarendszer segítségével azonosítottunk, egy újfajta módszer, ami a Discord tartalomkézbesítési hálózatát (content delivery network) használja kártékony programok disztribúciójára.
A Discord egy kommunikációs platform, amely szöveg, videó-, kép- és audió kommunikációval is rendelkezik. Legfőképpen a videójátékos közösségek körében terjedt el eleinte, a vírushelyzet beálltával azonban megnövekedett az igény a hasonló kommunikációs platformok iránt, így rengetegen kezdték el használni ezt a platformot is.
A támadók gyenge vagy alapértelmezett hitelesítéssel rendelkező Unix alapú rendszerek távoli menedzsment szolgáltatására próbálnak bejutni. Ezt követően a Discord tartalomkézbesítési hálózatáról letöltött állományt a támadó megpróbálja különböző mappákba elhelyezni és lefuttatni (lásd: 1. ábra).
A VirusTotal platformon 62 vírusírtó termék közül több mint a fele (36) visszaigazolta az állomány kártékony tevékenységét (lásd: ábra 2), emellett eredményesen azonosította a vírus típusát. A Mirai malware a hálózatra kötött Unix alapú rendszereket zombihálózatra kapcsolja. Ezeket a zombihálózatokat általában elosztott szolgáltatás megtagadási támadásra használják fel.
A hasonló esetek elkerülése érdekében javasolt:
- erős, egyedi jelszó alkalmazása minden felhasználói fiók esetében,
- az internet felől nyitott portok szükségességét rendszeresen és tervezetten átvizsgálni,
- üzemeltetéshez használt portok külső hálózatból történő elérésének a korlátozása,
- megfelelő kizárási házirend foganatosítása és a határvédelmi eszközök feketelistájának naprakészen tartása.
