Mirai (ботнет)
Mirai — червь и ботнет, образованный взломанными (скомпрометированными) устройствами типа «интернет вещей» (видеопроигрыватели, «умные» веб-камеры, прочее).
Ботнет Mirai стал возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах. Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора[1]. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы XiongMai Technologies с офисом в Ханчжоу, и фирмы Dahua, Китай[2].
История
Атака против Брайана Кребса
В сентябре 2016 года после публикации статьи о группировках, которые продают услуги ботнетов для осуществления DDoS-атак, веб-сайт журналиста Брайана Кребса (англ. Brian Krebs) сам стал жертвой DDoS-атаки, трафик которой на пике достиг 665 Гб/с, что делает её одной из самых мощных известных DDoS-атак. Поскольку хостер сайта отказался дальше бесплатно предоставлять свои услуги, сайт пришлось на некоторое время закрыть, пока не был найден новый хостер. Атака была осуществлена ботнетом из зараженных «умных» видео-камер (что является подмножеством интернета вещей). В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО (известное под названием Mirai), чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками[3][4].
Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых для подобного типа атак[2].
Атака против Dyn DNS
В пятницу, 21 октября 2016 года произошла мощная распределенная атака на отказ в обслуживании против Dyn DNS, оператора DNS в США. Атака проходила в две волны, первая длилась с 11:10 UTC до 13:20 UTC, и вторая в промежутке между 15:50 UTC и 17:00 UTC. Несмотря на то, что инженерам удалось оперативно принять меры для отражения атаки, она все же сказалась на интернет-пользователях. Последствия атаки можно было заметить вплоть до примерно 20:30 UTC того же дня[5].
Обе волны атаковали серверы компании, которые находились в различных регионах мира (от Азии до Соединенных Штатов)[5].
Атака была усилена спровоцированным ею потоком повторных запросов (англ. DNS retry) от миллионов различных компьютеров по всему миру. Спровоцированные запросы через IP и UDP на порт 53 превышали нормальный трафик в 40—50 раз (без учета тех запросов, которые не смогли добраться до серверов компании в результате принятых защитных мер и перегрузки каналов связи)[5]. В результате атаки возникли проблемы с доступом ко многим веб-сайтам, в частности: Twitter, Etsy, GitHub, SoundCloud, Spotify, Heroku, и другие[6].
Проведенное компанией расследование показало, что костяк атаки опирался на около 100 тысяч устройств типа «интернет вещей» управляемых вариантом вредоносного ПО Mirai[5].
См. также
Примечания
- Steve Ragan. Here are the 61 passwords that powered the Mirai IoT botnet (недоступная ссылка). CSO Online (3 жовтня 2016). Дата обращения: 28 октября 2016. Архивировано 7 октября 2016 года.
- Zach Wikholm. When Vulnerabilities Travel Downstream (недоступная ссылка). Flashpoint (7 жовтня 2016). Архивировано 7 ноября 2016 года.
- Catalin Cimpanu. Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack (недоступная ссылка). Softpedia (23 вересня 2016). Дата обращения: 28 октября 2016. Архивировано 14 октября 2016 года.
- Catalin Cimpanu. Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks (недоступная ссылка). Softpedia (5 жовтня 2016). Дата обращения: 28 октября 2016. Архивировано 6 октября 2016 года.
- Scott Hilton. Dyn Analysis Summary Of Friday October 21 Attack (недоступная ссылка) (October 26, 2016). Дата обращения: 28 октября 2016. Архивировано 29 октября 2016 года.
- Brad Chacos. Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline . PC World (21 жовтня 2016).