Ботнет Mirai використовувався для потужної DDoS-атаки на компанію Dyn

В п'ятницю минулого тижня значна частина глобальної мережі Інтернет працювала з перебоями або була недоступна зовсім на кілька годин. У користувачів спостерігалися проблеми з доступом до таких сервісів як Twitter, Amazon, Tumblr, Reddit, Spotify, а також Netflix. Виникає питання, ким була реалізована така масштабна DDoS-атака, на кого і хто за нею стояв. Одним з перших інформацію про інцидент опубликовал відомий security-журналіст Brian Krebs, вказавши, що причиною такого масштабного збою стала організована DDoS-атака на відому американську компанію Dyn, яка надає мережеву інфраструктуру та обслуговування DNS для ключових американських організацій.


Дещо пізніше фахівці компанії Flashpoint з'ясували, що DDoS-атака була організована з використанням IoT-пристроїв, які були скомпрометовані зловмисниками. Крім цього, вони були включені в ботнет Mirai, вихідні тексти якого не так давно витекли в мережу.

Flashpoint has confirmed that some of the infrastructure responsible for the distributed denial-of-service (DDoS) attacks against Dyn DNS were botnets compromised by Mirai malware. Mirai botnets were previously used in DDoS attacks against security researcher Brian Krebs' blog «Krebs On Security» and French internet service and hosting provider OVH. Mirai malware targets Internet of Things (IoT) devices like routers, digital video records (DVRs), and webcams/security cameras, enslaving vast numbers of these devices into a botnet, which is then used to conduct DDoS attacks.
Ботнет Mirai використовувався перед цим для здійснення потужної кібератаки на веб-сайт Brian Krebs, яка сягала інтенсивності 620 Гб/с і була здійснена за IoT-пристроїв.

Основним методом компрометації пристроїв з боку шкідливого ПЗ є підбір паролів серед стандартного списку. Таким чином, якщо до роутеру або цифрової камери дозволений доступ через SSH і там встановлено стандартний пароль, наприклад, admin:admin, пристрій заражається шкідливим ПО і стає частиною ботнету Mirai.


Рис. Карта розташування скомпрометованих пристроїв, які брали участь в DDoS-атаці (дані Incapsula).



Пізніше китайська компанія-виробник IP-камер і DVR XiongMai Technologies подтвердила, що в кібератаці могли брати участь в її пристрої, оскільки вони уразливі для використовуваного Mirai методів, тобто поставляються зі слабкими паролями. Такі слабкі паролі входять в список Mirai.

root xc3511
root vizxv
root admin
admin admin
root 888888
root xmhdipc
root default
root juantech
root 123456
Ботнет вміє організовувати DDoS на основі HTTP-flood, при цьому використовуються наступні рядки User Agent.

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Mirai здатний організовувати DDoS і на рівні мережевого IP-протоколу, а також TCP і UDP.

At this point we know this was a sophisticated, highly distributed attack involving 10s of millions of IP addresses. We are conducting a thorough root cause and forensic analysis, and will report what we know in a responsible fashion. The nature and source of the attack is under investigation, but it was a sophisticated attack across multiple attack vectors and internet locations. We can confirm, with the help of analysis from Flashpoint and Akamai, that one source of the traffic for the attacks were devices infected by the Mirai botnet. We observed 10s of millions of discrete IP addresses associated with the Mirai botnet that were part of the attack.
Dyn Statement on 10/21/2016 DDoS Attack

Фахівці Dyn відзначають, що для кібератаки на сервера компанії використовувалися десятки мільйонів різних IP-адрес.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.