Mirai (ботнет)

Mirai — червь и ботнет, образованный взломанными (скомпрометированными) устройствами типа «интернет вещей» (видеопроигрыватели, «умные» веб-камеры, прочее).

Ботнет Mirai стал возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах. Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора^[1]. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы XiongMai Technologies с офисом в Ханчжоу, и фирмы Dahua, Китай^[2].

История

Атака против Брайана Кребса

В сентябре 2016 года после публикации статьи о группировках, которые продают услуги ботнетов для осуществления DDoS-атак, веб-сайт журналиста Брайана Кребса (англ. Brian Krebs) сам стал жертвой DDoS-атаки, трафик которой на пике достиг 665 Гб/с, что делает её одной из самых мощных известных DDoS-атак. Поскольку хостер сайта отказался дальше бесплатно предоставлять свои услуги, сайт пришлось на некоторое время закрыть, пока не был найден новый хостер. Атака была осуществлена ботнетом из зараженных «умных» видео-камер (что является подмножеством интернета вещей). В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО (известное под названием Mirai), чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками^[3]^[4].

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых для подобного типа атак^[2].

Атака против Dyn DNS

В пятницу, 21 октября 2016 года произошла мощная распределенная атака на отказ в обслуживании против Dyn DNS, оператора DNS в США. Атака проходила в две волны, первая длилась с 11:10 UTC до 13:20 UTC, и вторая в промежутке между 15:50 UTC и 17:00 UTC. Несмотря на то, что инженерам удалось оперативно принять меры для отражения атаки, она все же сказалась на интернет-пользователях. Последствия атаки можно было заметить вплоть до примерно 20:30 UTC того же дня^[5].

Обе волны атаковали серверы компании, которые находились в различных регионах мира (от Азии до Соединенных Штатов)^[5].

Атака была усилена спровоцированным ею потоком повторных запросов (англ. DNS retry) от миллионов различных компьютеров по всему миру. Спровоцированные запросы через IP и UDP на порт 53 превышали нормальный трафик в 40—50 раз (без учета тех запросов, которые не смогли добраться до серверов компании в результате принятых защитных мер и перегрузки каналов связи)^[5]. В результате атаки возникли проблемы с доступом ко многим веб-сайтам, в частности: Twitter, Etsy, GitHub, SoundCloud, Spotify, Heroku, и другие^[6].

Проведенное компанией расследование показало, что костяк атаки опирался на около 100 тысяч устройств типа «интернет вещей» управляемых вариантом вредоносного ПО Mirai^[5].

См. также

Примечания

↑ Steve Ragan. Here are the 61 passwords that powered the Mirai IoT botnet (неопр.). CSO Online (3 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 7 октября 2016 года.
↑ ¹ ² Zach Wikholm. When Vulnerabilities Travel Downstream (неопр.). Flashpoint (7 октября 2016). Архивировано из оригинала 7 ноября 2016 года.
↑ Catalin Cimpanu. Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack (неопр.). Softpedia (23 сентября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 14 октября 2016 года.
↑ Catalin Cimpanu. Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks (неопр.). Softpedia (5 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 6 октября 2016 года.
↑ ¹ ² ³ ⁴ Scott Hilton. Dyn Analysis Summary Of Friday October 21 Attack (неопр.) (26 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 29 октября 2016 года.
↑ Brad Chacos. Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline (неопр.). PC World (21 октября 2016). Дата обращения: 28 октября 2016. Архивировано 21 октября 2016 года.

Ссылки

[1] Steve Ragan. Here are the 61 passwords that powered the Mirai IoT botnet (неопр.). CSO Online (3 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 7 октября 2016 года.

[fp.7-2] ¹ ² Zach Wikholm. When Vulnerabilities Travel Downstream (неопр.). Flashpoint (7 октября 2016). Архивировано из оригинала 7 ноября 2016 года.

[3] Catalin Cimpanu. Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack (неопр.). Softpedia (23 сентября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 14 октября 2016 года.

[4] Catalin Cimpanu. Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks (неопр.). Softpedia (5 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 6 октября 2016 года.

[dyn.26-5] ¹ ² ³ ⁴ Scott Hilton. Dyn Analysis Summary Of Friday October 21 Attack (неопр.) (26 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 29 октября 2016 года.

[6] Brad Chacos. Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline (неопр.). PC World (21 октября 2016). Дата обращения: 28 октября 2016. Архивировано 21 октября 2016 года.

[1]

[2]

[3]

[4]

[5]

[6]

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT