Для DDoS-атаки на провайдера Dyn использовался ботнет Mirai из десятков миллионов взломанных устройств.
По данным исследователей из компании FlashPoint , масштабная DDoS-атака на американского провайдера Dyn, имевшая место в прошлую пятницу, была осуществлена с помощью ботнета Mirai. Напомним, именно этот ботнет использовался в мощнейших за всю историю DDoS-атаках (на сайт журналиста Брайана Кребса и европейского интернет-провайдера OVH ).
Mirai является Linux-трояном, инфицирующим устройства «Интернета вещей» (IoT). По данным экспертов, в атаке на OVH использовалось 145 тыс. взломанных web-камер. В начале октября некто под псевдонимом Anna-senpai опубликовал исходный код трояна, и число ботнетов Mirai стало стремительно расти .
Кто стоит за атакой на Dyn, в результате которой жителям США был отключен доступ к наиболее посещаемым сайтам интернета, доподлинно неизвестно. По мнению американского хакера The Jester, ответственность за инцидент лежит на русских. В прошлую пятницу он осуществил дефейс сайта российского МИДа и оставил послание, призывающее прекратить атаки на американцев.
Ресурс WikiLeaks не согласен с мнением The Jester. По данным организации, DDoS-атака на Dyn является знаком протеста приверженцев WikiLeaks против отключения интернета основателю ресурса Джулиану Ассанжу. «Г-н Ассанж жив, и WikiLeaks продолжает публиковать материалы. Мы просим наших сторонников вернуть интернет в США. Вы уже доказали свою точку зрения», - обратилась администрация WikiLeaks к своим приверженцам.
Как сообщил ИБ-эксперт Пьерлуиджи Паганини (Pierluigi Paganini), ответственность за атаку лежит на активистах Anonymous и хакерской группировке NewWorldHackers. Если верить хакерам, они просто тестировали возможности ботнета Mirai в совокупности с другими «стрессерами» (инструментами для осуществления DDoS-атак). «Самое интересное – это их мотив, – пишет Паганини. – Они сообщили мне, что дело не только в Ассанже. Атака была посланием для российского правительства».
«Если Россия против США, то мы против России. Мы провели черту и делаем России предупреждение», - цитирует хакеров Паганини.
Согласно сообщению представителя Dyn Кайла Йорка (Kyle York), атака на сервер компании была не так мощной, как изощренной – злоумышленники использовали десятки миллионов скомпрометированных IP-адресов. Пока рано говорить конкретно, однако, судя по количеству IP-адресов, атака на Dyn была куда мощнее, чем на OVH.
Хакерам удалось взломать такое количество устройств благодаря используемым в них слабым дефолтным паролям. В воскресенье, 23 октября, китайский производитель видеорегистраторов и камер видеонаблюдения Hangzhou Xiongmai Technology подтвердил, что в атаке на Dyn использовалась его продукция. Как заявляют в компании, данная уязвимость была исправлена в сентябре прошлого года, и теперь при установке устройств от пользователей в обязательном порядке требуется сменить пароль. Тем не менее, до сих пор в мире используется большое количество более ранних версий видеорегистраторов с дефолтными учетными данными.
Ладно, не доказали. Но мы работаем над этим