В конце прошлой недели администрация GitHub предупредила пользователей, что пароли для некоторых аккаунтов будут обнулены в связи с атакой на сервис. Неизвестных злоумышленники попытались провернуть так называемую атаку ATO (Account TakeOver), то есть перебирали учетные данные пользователей, заранее составив базу логинов и паролей на основании различных утечек. Эксперты компании Akamai пишут, что подобные атаки становятся все опаснее, ведь злоумышленники брутфорсят свои цели с миллионов разных IP-адресов.
Специалисты Akamai представили отчет, согласно которому старый добрый брутфорс до сих пор не вышел из моды. Под угрозой ATO-атак находятся абсолютно любые предприятия и сервисы. Исследователи сообщают, что хакеры с большей охотой атакуют финансовые организации, а также сферу медиа и развлечений, но это не значит, что другие области им совсем неинтересны. GitHub – яркий тому пример.
Всего за одну неделю февраля 2016 года эксперты зафиксировали 744 361 093 попыток входа в различные аккануты, с использованием 1 127 818 уникальных IP-адресов. Суммарно злоумышленники задействовали в своих кампаниях 220 758 340 разных email-адресов.
На финансовые организации приходится почти 90% атак такого рода. По наблюдениям исследователей, только в данной области злоумышленники использовали 993 547 разных IP, чтобы «проверить» данные 427 444 261 аккаунтов. Лишь 22 555 IP-адресов из этого перечня значились в черных списках WAF.
Подобные кампании длятся не один день, и эксперты отмечают, что атака, как правило, не ослабевает со временем. Если в первый день хакеры могут задействовать 248 000 IP-адресов, то на седьмой день кампании их количество уже может доходить до 526 000.
Похожая картина наблюдается в области развлечений и медиа. В ходе наблюдений было замечено 817 390 разных IP-адресов, при помощи которых хакеры «прощупывали» 388 674 528 аккаунтов. Эксперты пишут, что более 70% IP-адресов (778 786) были задействованы в обеих кампаниях, что позволяет утверждать, что за атаками стоит одна и та же группировка хакеров.
Согласно отчету, многие из замеченных IP-адресов связаны с прокси-серверами. Также исследователи обнаружили, что в атаках участвуют множество скомпрометированных домашних роутеров. В частности, в отчете упомянуты устройства ZyXel и Arris, явно составляющие ботнет.
Так как для реализации подобных атак злоумышленники используют данные, приобретенные на черном рынке, и опираются на различные массовые утечки информации, в ближайшее время интенсивность ATO-атак может возрасти. Напомню, последний месяц ознаменовался крупными сливами данных: в даркнете были выставлены на продажу 117 млн учетных записей LinkedIn, 360 млн аккаунтов Myspace, 65 млн аккаунтов Tumblr, более 100 млн аккаунтов «ВКонтакте», почти 33 млн аккаунтов Twitter и так далее.