В конце сентября 2016 года известный журналист Брайан Кребс в очередной раз насолил хакерскому андеграунду, после чего его сайт подвергся серии DDoS-атак, чья пиковая мощность достигала 620 Гбит/с. Как тогда сообщал Кребс и представители компании Akamai, которая на протяжении нескольких лет предоставляла журналисту защиту и хостинг совершенно бесплатно, помимо прочего атака осуществлялась при помощи пакетов GRE (Generic Routing Encapsulation), что весьма необычно. Также стало известно, что большинство мусорного трафика генерировали различные IoT-устройства: роутеры, IP-камеры, DVR и так далее.

Когда мощность атаки достигла 620 Гбит/с, поддержка блога Кребса стала слишком накладной затеей. Специалисты Akamai были вынуждены отказать журналисту в дальнейшей защите его ресурса, так как перед ними встал выбор: продолжать защищать сайт Кребса и, вероятно, потерпеть фиаско (что привело бы к уходу в оффлайн и других клиентов компании), или же отказаться от поддержки журналиста. Выбор был очевиден.

И хотя в итоге Брайан Кребс переехал под защиту Project Shield, учрежденного компанией Google, специалисты Akamai успели собрать исчерпывающие данные об атаке, и их отчета ждали многие. Тем временем, другие исследователи тоже успели провести собственный анализ случившегося и связать Mirai с семейством вредоносов Gafgyt (известным под именами Lizkebab, BASHLITE, Bash0day, Bashdoor и Torlus). Так, подробный отчет о вредоносе и ботнете недавно опубликовали специалисты MalwareTech.

Согласно наконец-то вышедшему отчету Akamai, данное семейство малвари, поражающее IoT-устройства, даже связано с малварью Kaiten. Специалисты наблюдают данный образчик, получивший идентификатор Kaiten/STD (PDF), с января 2016 года.

В целом анализ, проведенный Akamai, совпадает с выводами, сделанными другими экспертами. Малварь действительно ищет незащищенные IoT-устройства и брутфорсит порты Telnet и SSH, в основном атакуя камеры наблюдения, роутеры и DVR-системы. Основные силы ботнета сосредоточены в странах Европы, на Ближнем Востоке и в Африке, тогда как еще примерно четверть ботов находятся на территории Северной Америки и Азиатско-тихоокеанского региона.

По данным Akamai, на момент 20 сентября 2016 года, мощность DDoS-атаки на сайт KrebsOnSecurity почти в два раза превысила все предыдущие попытки злоумышлеников. Самым крупным происшествием среди клиентов Akamai до этого момента считался DDoS мощностью 363 Гбит/с (57 млн пакетов в секунду), который хакеры обрушили на сайт европейской медиа-организации летом 2016 года (PDF). Аналитики пишут, что когда мощность атаки на сайт Кребса достигла 620 Гбит/с, к делу подключился еще один ботнет, не имеющий отношения к Mirai.

«Данная атака задействовала значительное количество трафика, шедшего напрямую от ботнета к жертве, в отличие от случаев, когда [злоумышленники] используют отраженный или усиленный трафик, эксплуатируя уязвимости в NTP и DNS, что можно было наблюдать во время недавних крупных атак», — резюмируют аналитики Akamai.

С подробным отчетом экспертов можно ознакомиться здесь.

Фото: Depositphotos



1 комментарий

  1. Администратор

    11.10.2016 at 19:44

    Всегда меняйте данные для входа по умолчанию.
    А для роутера и DVR — открывать только то, что действительно нужно.
    Еще вариант — менять адреса по умолчанию.

Оставить мнение