Известный журналист, специализирующийся на информационной безопасности, Брайан Кербс (Brian Krebs), нередко разоблачает различных хакеров и раскрывает схемы работы киберпреступников. 8 сентября 2016 года, Кребс опубликовал в своем блоге результаты очередного расследования. Он рассказал о том, что операторы сервиса vDos, предоставляющие услуги DDoS на заказ, за два года заработали более $600 000, произведя более 150 000 атак. Кроме того, Кребс сумел установить личности хакеров, перечислил в статье IP-адреса серверов злоумышленников и в очередной раз вызвал недовольство преступного андеграунда.
Вскоре стало известно, что операторы vDos были арестованы в Израиле, а затем отпущены под залог. Почти сразу после этого на сайт Кребса начались DDoS-атаки, и исследователь рассказал, что некоторые пакеты содержали встроенное сообщение «GoDieFaggot».
21 сентября 2016 года Кребс опубликовал в своем блоге новый материал, обнародовав последние «сводки с полей». DDoS-атаки на сайт журналиста продолжаются до сих пор, и дело начало принимать совсем серьёзный оборот. Так как Кребс связался со специалистами компании Akamai и попросил их помощи, атакующие не преуспели в своих попытках «уронить» сайт, но они не оставляют надежды.
Кребс пишет, что 20 сентября 2016 года пиковая мощность атаки составила 665 Гбит/с, впрочем, более детальное изучение трафика показало, что реальная мощность атаки скорее равнялась примерно 620 Гбит/с.
На сайт обрушили два типа трафика: обычный для таких атак флуд пакетами SYN, GET и POST, а также пакеты GRE (Generic Routing Encapsulation). Специалисты говорят, что это не совсем обычная картина. Дело в том, что для большинства DDoS-атак злоумышленники используют техники усиления и отражения, и благодаря этому им изначально не нужно иметь в своем распоряжении огромные ботнеты: аналогичных мощностей удается достигнуть, усиливая атаку. Однако в случае с атакой на сайт Брайана Кребса картина немного иная. Специалисты Akamai утверждают, что злоумышленники не утруждались использованием сложных техник, они просто направили на сайт журналиста потоки трафика со множества скомпрометированных хостов. При этом известно, что большинство трафика шло с различных IoT-устройств: роутеров, IP-камер, DVR и так далее.
Holy moly. Prolexic reports my site was just hit with the largest DDOS the internet has ever seen. 665 Gbps. Site's still up. #FAIL
— briankrebs (@briankrebs) September 21, 2016
per the last tweet, they threw it all at my site; SYN Flood, GET Flood, ACK Flood, POST Flood, GRE Protocol Flood]; 665.00 Gbps;143.50 Mpps
— briankrebs (@briankrebs) September 21, 2016
Prolexic said the 665 Gbps attack that hit my site tonight is almost twice the size of the largest attack they've seen previously.
— briankrebs (@briankrebs) September 21, 2016
Специалист компании Akamai Мартин МакКей (Martin McKeay) говорит, что это одна из наиболее мощных атак за всю историю. Так, предыдущий рекорд, зафиксированный специалистами компании в этом году, составлял только 363 Гбит/с.
«Наблюдать такую атаку, с применением GRE – это очень необычно. Похожие [атаки] мы начали фиксировать совсем недавно, и еще не видели таких масштабов», — говорит МакКей. — «У кого-то есть ботнет с такими возможностями, каких мы еще не встречали. Мы изучили трафик, идущий от атакующих, и он шел не из какого-то конкретного региона мира, он шел отовсюду».
И вновь атакующие поместили небольшое «послание» в мусорный трафик, которым они засыпают сайт журналиста. Сообщение гласит «freeapplej4ck», то есть «свободу AppleJ4ck». Напомню, что под псевдонимами AppleJ4ck и P1st (или же M30W) скрывались двое граждан Израиля: Ярден Бидани (Yarden Bidani) и Итай Хури (Itay Huri), которые являлись основателями и операторами сервиса vDos.