Новое расследование в отношении DDoS-атаки против DNS-провайдера Dyn показало, что ее организовали, скорее всего, дилетанты, а не политически ангажированные хакеры.

Исследователи из Flashpoint не верят многочисленным заявлениям об ответственности за эту варварскую акцию, намекающим на связь с российскими властями, WikiLeaks или группой New World Hackers. Эксперты консалтинговой компании, специализирующейся в сфере ИБ, с «разумной уверенностью» предполагают, что за этими атаками стоят участники сообщества Hackforums. Именно на этом англоязычном форуме хакер Anna-Senpai опубликовал исходный код Mirai.

Отчитываясь в Совете по международным отношениям, директор национальной разведки США Джеймс Клэппер (James Clapper) заявил, что данная DDoS, возможно, не является заказом какого-либо государства. «Таковы, по крайней мере, предварительные выводы, — цитирует Клэппера The Hill. — Но я не готов категорично утверждать, что ее спонсировало либо не спонсировало государство».

Заключение Flashpoint обусловлено рядом факторов, одним из которых является публикация исходного кода Mirai. Этот зловред сканирует Интернет в поисках IoT-устройств, подобных тем, которые использовались в атаках на Krebs on Security и французский веб-хостинг OVH. Mirai использует список слабых и дефолтных паролей из 60 позиций, чтобы взламывать IP-камеры, DVR, домашнюю сетевую аппаратуру и приобщать эти устройства к ботнету для проведения DDoS-атак. Согласно Level 3 Communications, после слива исходников Mirai боевые порядки масштабной бот-сети возросли более чем в два раза.

«Персоны, составляющие это сообщество, известны как создатели и пользователи коммерческих DDoS-инструментов, совокупно называемых booters или stressers, — рассказывает Элисон Никсон, директор по ИБ-исследованиям во Flashpoint. — Хакеры предлагают такие услуги на платной основе, по сути как DDoS внаем. Установлено, что одна из персон, ассоциируемых с Mirai и ботнетами, является завсегдатаем этих форумов… Их участники и ранее проводили подобные атаки, но значительно меньшей мощности».

В подтверждение этих выводов представитель Flashpoint заявила, что инфраструктура, засветившаяся в DDoS-атаке на Dyn, прежде использовалась против хорошо известного вендора видеоигр, имя которого Никсон предпочла не называть. «Перебоев в обслуживании игрового сервиса не наблюдалось, и атака еще меньше была похожа на происки хактивистов, госзаказ или акцию борцов за социальную справедливость, — сказала собеседница Threatpost. — Скорее всего, ее авторами были завсегдатаи хакерских онлайн-форумов».

Она также не преминула отметить, что скрипт-кидди, которых Flashpoint подозревает в атаке на Dyn, обычно не волнуют финансовые или политические соображения, они больше стремятся прославиться или «вызвать нарушение сервиса и породить хаос из спортивного интереса». Преступники со стажем или финансируемые правительством группы менее склонны организовывать DDoS без четкого финансового, политического или стратегического мотива. «Известны случаи, когда участники Hackforums-комьюнити проводили DDoS-атаку против поставщика видеоигр с тем, чтобы прослыть умельцами, либо ради троллинга, способного привлечь к ним внимание, если успешно атакованный сайт достаточно популярен», — говорит Никсон.

Мощные DDoS, подобные атакам на Dyn, блог Брайана Кребса и другие мишени, зачастую проводятся, чтобы получить выкуп с крупной компании, финансовой организации или владельца онлайн-сервиса типа казино, которые не могут себе позволить длительные простои. В недавних инцидентах попыток вымогательства не наблюдалось. «Центральной мишенью являлась Dyn DNS, ее бездействие отразилось бы на работе самых разных сайтов и сервисов, в то же время не навредив чрезмерно какой-либо политической организации, — подтвердила Никсон. — Столь широкий спектр мишеней не характерен для политически мотивированных атак. Кроме того, выявленные индикаторы указывают на конкретное сообщество, которое известно своей аполитичностью».

Ответственность за недавние атаки взяли на себя несколько лиц, но Flashpoint недоверчиво отнеслась к этим заявлениям. В прошлую субботу некий хакер, использующий ник The Jester, заявил, что произвел дефейс сайта МИД РФ, разместив на нем сообщения, порицающие Россию за ее якобы причастность к атакам на систему электронного голосования США с целью повлиять на исход президентских выборов. WikiLeaks в свою очередь опубликовал твит, призвав сподвижников прекратить DDoS-атаку, так как их правота уже доказана. Группа New World Hackers тоже поспешила заявить ответственность за рекордные, по их выражению, атаки.

Тем временем китайский производитель компонентов IP-камер и DVR, задействованных в резонансных DDoS, решился отозвать уязвимые устройства, хотя и обвиняет операторов в небрежении и грозит судом СМИ, порочащим его репутацию. «Атаки на Dyn также показали, сколь высокую цену приходится платить за стремление сэкономить, — отметил по этому поводу Майкл Дейли (Michael Daly), технический директор Raytheon по ИБ-продукции. — Авторам атаки удалось обернуть против нас дешевые устройства, бытовую электронику и предметы обихода, призванные облегчить нашу жизнь. Для повсеместного создания этой среды данных важнее всего скорость вывода устройств на рынок, и потому капиталовложения в безопасность и поддержание годности были минимальными, если вообще имели место».

«На самом деле владельцы этих дешевых гаджетов, обновляемых или нет, могли и не знать, что они являются частью проблемы, — продолжает Дейли. — Это событие может повлечь развертывание на дому сетевых экранов, способных сыграть роль уличного регулировщика и предотвратить свободный доступ IoT-устройств к Интернету».

Категории: DoS-атаки, Аналитика