Китайская компания Xiongmai намерена отозвать миллионы камер, поставленных на рынок США, после того, как стало известно об их причастности к массированной DDoS-атаке на DNS-провайдера Dyn. В результате атаки ряд популярных сервисов, в том числе Twitter и GitHub, испытывали проблемы с доступом в течение большей части дня в прошлую пятницу.

Xiongmai поставляет OEM-производителям программно-аппаратные платформы для производства камер, DVR-станций и устройств для записи видео. Для доступа к многим из этих устройств использовались слабые или дефолтные пары «логин — пароль», в результате чего они были скомпрометированы хакерами, заразившими устройства зловредом Mirai. Зараженные девайсы были включены в масштабный ботнет, при помощи которого хакеры проводят DDoS-атаки по заказу.

В пятницу компания выпустила официальный комментарий, в котором, по сути, обвинила пользователей в том, что они не сменили дефолтные пароли, а также подчеркнула, что закрыла уязвимый telnet-порт еще в апреле 2015 года. Кроме того, производитель назвал публикации, связывающие устройства с DDoS-атакой, «дискредитирующими» и «злонамеренными» и пригрозил опубликовавшим подобные статьи СМИ судебными исками.

Согласно примерному переводу заявления с китайского, производитель отзовет проданные ранее и используемые в настоящее время устройства, в том числе 1 млн референсных платформ для сетевых камер, 1 млн камер, подключенных к облаку, 1 млн камер панорамного вида и 1,3 млн сетевых камер. Компания уверена, что уязвимыми являются только устройства, проданные до апреля 2015 года, — в них используются дефолтные учетные данные и имеется незащищенный порт.

«Если устройство не отвечает этим условиям, наше оборудование не является уязвимым, поэтому атака не имеет отношения к большинству наших устройств», — говорится в заявлении.

Dyn продолжает расследование этапов DDoS-атак, вызвавших сбой работ сервисов на Восточном побережье. Эксперты, отслеживающие ход атаки, заключили, что она была произведена при помощи ботнета Mirai и других ботнетов.

По мнению телекоммуникационного провайдера Level 3 Communications, большей частью атака принесла мусорный трафик UDP/53 и TCP/53; TCP-трафик состоял в основном из пакетов DNS SYN; также использовался субдоменный UDP-трафик.

Директор по информационной безопасности в Level 3 Дейл Дрю (Dale Drew) сказал: «Мы считаем, что в серии атак замешаны и другие ботнеты. Многие боты, участвовавшие в атаках, включены в один из основных доменов ботнета Mirai. В процентном соотношении количество известных ботов Mirai упало вдвое, хотя мощность второй волны атаки была выше, чем первой. На этом этапе к атаке подключилось большое количество дополнительных IP-адресов».

По мнению Дрю, исполнители атаки могут арендовать различные ботнеты, чтобы вывести из строя конкретную жертву, а через нее — множество других веб-ресурсов. Это может привести к активизации «дидосеров-подражателей», демонстрирующих масштаб ущерба и способных, например, проводить «пробные» атаки с целью шантажа и вымогательства. Кроме того, такой подход может свидетельствовать о том, что киберпреступники используют разные ботнеты, чтобы их не могли отследить.

Mirai может стать угрозой на очень долгое время. После того как исходный код Mirai был опубликован в открытом доступе, число ботов Mirai удвоилось. По данным Level 3, известно более чем о 550 тыс. устройств, зараженных Mirai, и 10% из них участвовали в атаке на Dyn.

Категории: DoS-атаки, Вредоносные программы