Mirai (ботнет)

Mirai — червь и ботнет, образованный взломанными (скомпрометированными) устройствами типа «интернет вещей» (видеопроигрыватели, «умные» веб-камеры, прочее).

Ботнет Mirai стал возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах. Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы XiongMai Technologies с офисом в Ханчжоу, и фирмы Dahua, Китай.

История

Атака против Брайана Кребса

В сентябре 2016 года после публикации статьи о группировках, которые продают услуги ботнетов для осуществления DDoS-атак, веб-сайт журналиста Брайана Кребса (англ. Brian Krebs) сам стал жертвой DDoS-атаки, трафик которой на пике достиг 665 Гб/с, что делает её одной из самых мощных известных DDoS-атак. Поскольку хостер сайта отказался дальше бесплатно предоставлять свои услуги, сайт пришлось на некоторое время закрыть, пока не был найден новый хостер. Атака была осуществлена ботнетом из зараженных «умных» видео-камер (что является подмножеством интернета вещей). В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО (известное под названием Mirai), чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками.

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых для подобного типа атак.

Атака против Dyn DNS

В пятницу, 21 октября 2016 года произошла мощная распределенная атака на отказ в обслуживании против Dyn DNS, оператора DNS в США. Атака проходила в две волны, первая длилась с 11:10 UTC до 13:20 UTC, и вторая в промежутке между 15:50 UTC и 17:00 UTC. Несмотря на то, что инженерам удалось оперативно принять меры для отражения атаки, она все же сказалась на интернет-пользователях. Последствия атаки можно было заметить вплоть до примерно 20:30 UTC того же дня.

Обе волны атаковали серверы компании, которые находились в различных регионах мира (от Азии до Соединенных Штатов).

Атака была усилена спровоцированным ею потоком повторных запросов (англ. DNS retry) от миллионов различных компьютеров по всему миру. Спровоцированные запросы через IP и UDP на порт 53 превышали нормальный трафик в 40—50 раз (без учета тех запросов, которые не смогли добраться до серверов компании в результате принятых защитных мер и перегрузки каналов связи). В результате атаки возникли проблемы с доступом ко многим веб-сайтам, в частности: Twitter, Etsy, GitHub, SoundCloud, Spotify, Heroku, и другие.

Проведенное компанией расследование показало, что костяк атаки опирался на около 100 тысяч устройств типа «интернет вещей» управляемых вариантом вредоносного ПО Mirai.