IoT-ботнет из устройств, зараженных зловредом Mirai, стал причиной мощной DDoS-атаки на DNS-провайдера Dyn. Атака нарушила работу интернет-сервисов на Восточном побережье США, парализовав работу Dyn и ряда крупных клиентов провайдера в течение дня.

Level 3 Communications, крупный провайдер из Колорадо, заявил, что отслеживал ход атаки, для которой были задействованы 10% зараженных Mirai IP-камер, домашних сетевых устройств, DRV-станций.

Цель Mirai — постоянно сканировать Интернет на предмет открытых IoT-устройств, доступ к которым можно получить через простые для взлома или дефолтные учетные записи. Скомпрометировав устройства, хакеры подключают их к ботнету для последующих DDoS-атак. Проблема с Mirai стала еще более серьезной, когда хакер, предположительно ответственный за DDoS-атаку мощностью 620 Гбит/с на блог Брайана Кребса Krebs on Security и французский хостинг OVH, выложил исходный код зловреда в открытый доступ.

Level 3 и ИБ-компания Flashpoint подтвердили в пятницу, что пятничная атака на Dyn — дело рук Mirai; атаки продолжились и в выходные. В данный момент Flashpoint работает с правоохранительными органами и другими организациями, чтобы отследить источник атак.

Dyn, DNS-провайдер из Нью-Гемпшира, рассказал, что атаки начались в 7 часов утра по восточному времени; первая волна завершилась в 9.36 утра, а следующая атака на платформу DNS-услуг началась в 11.52 утра.

«Эта атака уже приняла глобальные масштабы», — прокомментировали представители Dyn в пятницу.

В тот же день New York Times сообщила, что ФБР и министерство внутренней безопасности занимаются расследованием атак и не исключают, что за инцидентом могут стоять спецслужбы или киберпреступники.

Дейл Дрю (Dale Drew), директор по информационной безопасности в Level 3 Communications, в ходе трансляции Periscope рассказал, что ботнет Mirai состоит примерно из 550 тыс. узлов и около 10% из них участвовали в атаке на Dyn (см. ниже карту сбоев в Level 3). Ранее исследователям из Level 3 удалось выявить большую часть C&C-инфраструктуры, используемой для связи с ботами; по оценке компании, количество ботов удвоилось с тех пор, как был опубликован исходный код.

«Другие тоже участвуют в этих атаках, — сказал Дрю. — Mirai — это решение модели «DDoS напрокат». Те, кто покупает эту услугу, могут также покупать время на других ботнетах и атакуют ряд других DNS-сайтов». О каких провайдерах идет речь, Дрю не уточнил.

screen-shot-2016-10-21-at-8-30-13-pm

DNS-сервисы преобразуют доменные имена в IP-адреса. В пятничных атаках кто-то использовал скомпрометированные IoT-устройства для создания избыточного количества запросов к Dyn и другим провайдерам, из-за чего легитимные запросы не могли быть обслужены вовремя.

В пятницу популярные сервисы вроде Twitter, GitHub, Spotify, Reddit и SoundCloud временами были недоступны.

«Когда происходит сбой в службе каталогов, DNS не может предоставить IP-адрес, и вы как клиент не можете осуществить связь с хостом, — сказал Дрю. — Кажется, что хост не работает, хотя на самом деле не работает служба каталогов».

Ранее Level 3 рассказала, что хакеры уже используют опубликованный исходный код Mirai, чтобы взламывать IoT-устройства. Например, 24% устройств в ботнете также используются другим IoT-ботнетом Bashlite, обнаруженным минувшим летом.

Большая часть ботов, участвовавших в атаках на сайте Кребса и OVH, — это DVR производства китайской компании XiongMai Technologies. DVR-станции, которые были скомпрометированы дидосерами, используют общую комбинацию «логин — пароль» (root:xc3511), и взломать их проще простого.

«В отличие от ПК или смартфонов, IoT-устройства не имеют достаточно памяти, чтобы их можно было защитить традиционными методами. Их легко скомпрометировать, и в этом случае инфекцию практически невозможно распознать, — сказал Крис Салливан (Chris Sullivan) из Core Security. — Из-за этого становятся возможны масштабные и мощные атаки вроде той, что произошла в выходные. Огромные IoT-ботнеты по команде создают такой поток ложных обращений к мишени, что легитимные запросы начинают зависать. С технической точки зрения вреда нет, но легитимные клиенты вынуждены мириться с отказом в обслуживании».

Категории: DoS-атаки, Вредоносные программы, Главное