Mirai (ботнет)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Mirai — червь и ботнет, образованный взломанными (скомпрометированными) устройствами типа «интернет вещей» (видеопроигрыватели, «умные» веб-камеры, прочее).

Ботнет Mirai стал возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах. Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора[1]. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы XiongMai Technologies с офисом в Ханчжоу, и фирмы Dahua, Китай[2].

Атака против Брайана Кребса

[править | править код]

В сентябре 2016 года после публикации статьи о группировках, которые продают услуги ботнетов для осуществления DDoS-атак, веб-сайт журналиста Брайана Кребса (англ. Brian Krebs) сам стал жертвой DDoS-атаки, трафик которой на пике достиг 665 Гб/с, что делает её одной из самых мощных известных DDoS-атак. Поскольку хостер сайта отказался дальше бесплатно предоставлять свои услуги, сайт пришлось на некоторое время закрыть, пока не был найден новый хостер. Атака была осуществлена ботнетом из зараженных «умных» видео-камер (что является подмножеством интернета вещей). В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО (известное под названием Mirai), чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками[3][4].

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых для подобного типа атак[2].

Атака против Dyn DNS

[править | править код]

В пятницу, 21 октября 2016 года произошла мощная распределенная атака на отказ в обслуживании против Dyn DNS, оператора DNS в США. Атака проходила в две волны, первая длилась с 11:10 UTC до 13:20 UTC, и вторая в промежутке между 15:50 UTC и 17:00 UTC. Несмотря на то, что инженерам удалось оперативно принять меры для отражения атаки, она все же сказалась на интернет-пользователях. Последствия атаки можно было заметить вплоть до примерно 20:30 UTC того же дня[5].

Обе волны атаковали серверы компании, которые находились в различных регионах мира (от Азии до Соединенных Штатов)[5].

Атака была усилена спровоцированным ею потоком повторных запросов (англ. DNS retry) от миллионов различных компьютеров по всему миру. Спровоцированные запросы через IP и UDP на порт 53 превышали нормальный трафик в 40—50 раз (без учета тех запросов, которые не смогли добраться до серверов компании в результате принятых защитных мер и перегрузки каналов связи)[5]. В результате атаки возникли проблемы с доступом ко многим веб-сайтам, в частности: Twitter, Etsy, GitHub, SoundCloud, Spotify, Heroku, и другие[6].

Проведенное компанией расследование показало, что костяк атаки опирался на около 100 тысяч устройств типа «интернет вещей» управляемых вариантом вредоносного ПО Mirai[5].

Примечания

[править | править код]
  1. Steve Ragan. Here are the 61 passwords that powered the Mirai IoT botnet. CSO Online (3 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 7 октября 2016 года.
  2. 1 2 Zach Wikholm. When Vulnerabilities Travel Downstream. Flashpoint (7 октября 2016). Архивировано из оригинала 7 ноября 2016 года.
  3. Catalin Cimpanu. Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack. Softpedia (23 сентября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 14 октября 2016 года.
  4. Catalin Cimpanu. Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks. Softpedia (5 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 6 октября 2016 года.
  5. 1 2 3 4 Scott Hilton. Dyn Analysis Summary Of Friday October 21 Attack (26 октября 2016). Дата обращения: 28 октября 2016. Архивировано из оригинала 29 октября 2016 года.
  6. Brad Chacos. Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline. PC World (21 октября 2016). Дата обращения: 28 октября 2016. Архивировано 21 октября 2016 года.