Akamai Technologies поделилась первыми результатами анализа мощнейшей DDoS-атаки, которую ей недавно довелось отражать. Изучив данные, эксперты подтвердили, что интенсивность мусорного потока, направленного на сайт блогера и исследователя Брайана Кребса, на пике превысила 620 Гбит/с. Согласно статистике компании, этот показатель почти в два раза превышает прежний рекорд по клиентской базе Akamai.

Как уже говорилось, основным оружием атакующих являлся ботнет, составленный из IoT-устройств; по данным Akamai, источниками DDoS-трафика являлись преимущественно камеры видеонаблюдения и ассоциированные с ними видеорегистраторы класса «малый офис — домашний офис». Многие из этих устройств, как обнаружили эксперты, используют легко угадываемые логины и пароли или дефолтные идентификаторы.

Около половины мусорного потока исходило с территории стран EMEA, примерно треть — из Северной Америки, остальные источники были прописаны в Азиатско-Тихоокеанском регионе.

Установлено, что задействованный в атаке на Кребса IoT-ботнет построен на основе Mirai — DDoS-зловреда, исходный код которого к октябрю стал достоянием общественности. Специалисты Akamai наблюдают Mirai уже несколько месяцев (в компании ему присвоили кодовое имя Kaiten) и даже посвятили ему информационный бюллетень. В этом документе рассматривается случай брутфорса на заведомо уязвимое смарт-устройство с внешним IP-адресом и открытыми портами Telnet, SSH, HTTP, SMTP и проч.

Согласно наблюдениям Akamai, боты Mirai обычно используют дефолтные логины и пароли, ассоциированные с IoT, и получают команды на загрузку вредоносных модулей. За 12 дней исследователи зафиксировали около 100 тыс. попыток залогиниться, исходящих более чем с 1,8 тыс. IP-адресов. Основные источники враждебного трафика размещались в Китае (64%), Колумбии (13%), Южной Корее и Вьетнаме (по 6%). Наиболее часто брутфорс-атакам подвергались протоколы SSH (57%) и Telnet (42%). Для брутфорса чаще прочих использовались такие имена пользователей, как root (75%), admin (10%), shell (6%) и sh (6%).

В заключение эксперты отметили, что рекордная DDoS и слив исходников Mirai оживили дискуссии в отношении беззащитности IoT и широких возможностей, которые предоставляет злоумышленникам, в том числе дидосерам, огромная армия подключенных к Интернету смарт-устройств.

Расследование Akamai еще не закончено, эксперты обещают продолжить публикацию важных находок, связанных с данным DDoS-инцидентом.

Категории: DoS-атаки, Аналитика, Вредоносные программы