Непродолжительные DDoS-атаки против Либерии, исходящие с одного из многочисленных ботнетов Mirai, прекратились.

Исследователь Кевин Бомон (Kevin Beaumont), сообщивший об атаках в конце прошлой недели, заявил, что доменный регистратор eNom отключил домен, использовавшийся для контроля над C&C-инфраструктурой либерийских атак. По сведениям регистратора, домен был зарегистрирован раньше, чем произошли нашумевшие DDoS-атаки на Dyn.

Хотя атаки были пресечены, в течение недели они нарушали работу интернет-сервисов в стране, а один местный мобильный оператор даже заявил в новостях, что атаки «убивают» его бизнес и значительно влияют на прибыль.

Бомон, специалист по безопасности в британской компании, объяснил, что в случае Либерии подключение к Интернету всей страны осуществляется через единственный подводный оптоволоконный кабель. Он принадлежит ряду телекоммуникационных компаний и провайдеров, поэтому для отключения всей страны хакерам было достаточно сконцентрироваться на единственной точке отказа.

По данным Бомона, ботнет стал источником атаки мощностью более 500 Гбит/c — это одна из самых масштабных атак на сегодняшний день. Однако исследователь придерживается мнения, что это была всего лишь пробная атака, демонстрирующая сценарий нарушения доступа к Интернету для целой страны.

«Атаки были непродолжительными, осуществлялись различными способами против одних и тех же мишеней. Кроме того, страна обладает рядом очевидных характеристик: она небольшая, не отличается активным участием в международной политике, а также имеет низкие показатели проникновения Интернета», — сказал Бомон.

Как только Бомон опубликовал свой отчет, злоумышленники направили DDoS-атаку на сервис мониторинга ботнетов MalwareTech, а затем начали угрожать самому автору отчета.

«Скорее всего, они пытались заставить исследователей замолчать», — заявил Бомон.

Mirai — зловред, который сканирует Интернет на наличие плохо защищенных устройств (например, IP-камер или DVR-приставок). Исходный код Mirai был опубликован в открытом доступе в октябре, в связи с чем множество киберпреступников заразили им огромное количество устройств, чтобы объединить их в ботнеты и использовать для организации DDoS-атак.

DNS-провайдер Dyn оказался под атакой две недели назад. DDoS-атака не только нарушила работу крупных клиентов провайдера, в том числе Twitter и Netflix, но также стала причиной перебоев в работе Интернета на Восточном побережье США. Ботнеты Mirai также использовались в атаках на блог Krebs on Security и французский хостинг OVH — обе эти атаки были мощнее, чем атака на Либерию.

«Устройства, зараженные Mirai, участвуют в целом ряде ботнетов. Предполагается, что хакеры «владеют» устройством и включают его в свой собственный ботнет, — сказал Бомон. — Самым крупным известным ботнетом Mirai является тот, который использовался в атаке на Либерию».

Бомон также заявил, что обезвреженный командный сервер ботнета имеет украинский IP-адрес, но предостерег, что это могла быть попытка запутать след. Кроме того, все атаки происходили в определенное время дня.

Категории: DoS-атаки, Вредоносные программы, Главное, Кибероборона