В минувшую пятницу, 21 октября 2016 года, из-за атаки на крупного DNS-провайдера Dyn в работе множества ресурсов наблюдались проблемы. Для множества пользователей, в том числе и российских, оказались недоступны социальные сети, новостные сайты, стриминговые сервисы и так далее. В результате атаки с перебоями работали Twitter, Reddit, Yelp, Imgur, PayPal, Airbnb, Pinterest, Shopify, Soundcloud, Spotify, GitHub, Heroku, Etsy, Box, Weebly, Wix, Squarespace, CPAN, NPM, Basecamp, Twilio, Zoho, HBO, CNN, Starbucks, Yammer и так далее.
За прошедшие выходные эксперты успели сделать первые выводы и опубликовали первые отчеты о случившемся. Наибольшего внимания, конечно, заслуживает официальное заявление представителей Dyn, обнародованное 22 октября.
Представители провайдера пишут, что расследование происшедшего еще очень далеко от завершения, однако сомневаться в точности некоторых фактов уже не приходится. Хотя Dyn не привыкать бороться с DDoS-атаками, эта атака отличалась от остальных. Специалисты компании утверждают, что атака была крайне сложной и осуществлялась «с десятков миллионов IP-адресов» по всему миру. Природу атаки еще изучают, но уже с точностью можно сказать, что здесь не обошлось без IoT-ботнетов. Так, эксперты Dyn благодарят за помощь сотрудников компаний Flashpoint и Akamai, которые помогли определить, что одним из источников трафика был именно ботнет Mirai, как многие подозревали.
Дэйл Дрю (Dale Drew), глава безопасности Level 3, еще в минувшую пятницу, по горячим следам, заявлял, что без интернета вещей здесь не обошлось: «Мы наблюдаем атаки исходящие из самых разных локаций. Также мы видим атаки, идущие от интернета вещей и ботнета, который мы идентифицировали как Mirai».
Напомню, что малварь Mirai образует ботнеты, состоящие преимущественно из IoT-устройств: камер видеонаблюдения, DVR-систем, роутеров и так далее. Несколько недель назад такой ботнет использовался для DDoS-атак на европейского хостинг провайдера OVH, мощность атаки тогда составила 1 Тб/с, а также на сайт известного журналиста Брайана Кребса, тогда сила атаки доходила до 620 Гбит/с.
Основная проблема заключается в том, что исходные коды Mirai были опубликованы его автором, Anna_Senpai, в открытом доступе еще в начале октября 2016 года, к тому же Mirai – не единственная малварь, которая атакует IoT-девайсы и объединяет их в ботнеты. Теперь, когда код Mirai открыт, собственный ботнет можно построить любой желающий, ведь «дырявых» IoT-устройств хватит всем.
«Неизвестно, была ли атака на Dyn DNS связана с атаками на Брайана Кребса, OVH и другими случаями, — пишут аналитики Flashpoint. — Судя по скорости распространения трояна Mirai, взаимосвязь между атаками на Dyn DNS и предыдущими случаями, а также их связь с Anna_Senpai, неясны».
Похожую точку зрения высказал известный ИБ-эксперт и криптограф Брюс Шнайер (Bruce Schneier). В своем блоге он пишет, что людей, которые сумели отключить огромный сегмент интернета, найдут не скоро:
«Кто мог сделать такое? Не думаю, что такое мог бы сделать активист, преступник или исследователь. Для нормальных компаний подобное тоже несвойственно. Судя по масштабам и настойчивости атаки, все указывает на “правительственных хакеров”».
Также многие ИБ-эксперты выразили определенный скепсис относительно официального заявления Dyn. Так, специалисты MalwareTech пишут, что «десятков миллионов устройств», зараженных Mirai и такого ботнета не может существовать точно.
Dyn claimming 10s of millions of Mirai IPs hit them, I don't believe that for a second.https://t.co/4ArtZP1yyK
— MalwareTech (@MalwareTechBlog) October 22, 2016
@MalwareTechBlog Most likely spoofed source address, there aren't anywhere near 10m infected Mirai devices, never mind 10s of millions.
— MalwareTech (@MalwareTechBlog) October 22, 2016
Так, онлайн-трекер ботнета на данный момент зафиксировал порядка 1,2 млн зараженных Mirai девайсов, из которых активны лишь 168 000.
Как бы то ни было, расследование инцидента действительно еще далеко от завершения. Агентство Reuters и телеканал CBS News сообщают, что к делу уже подключилось ФБР и представители Министерства национальной безопасности США, однако от каких-либо комментариев правоохранители пока отказываются.