Состоящие из IoT-устройств ботнеты наделали много шума в последние недели. После DDoS-атаки на DNS-провайдера Dyn, по сути, отключившей множество популярных ресурсов интернета, эксперты и пользователи с напряжением ждали, что последует продолжение. И оно последовало, только его практически никто не заметил.
Вчера, 3 ноября 2016 года, известный ИБ-эксперт Кевин Бимонт (Kevin Beaumont) заметил, что твиттер-аккаунт @MiraiAttacks, который был запущен исследователями @2sec4u и @MalwareTechBlog для отслеживания активности Mirai-ботнетов, сообщает об атаках на небольшую африканскую страну Либерию. Либерийские IP-адреса атаковал так называемый «Ботнет 14» (всем ботнетам на базе Mirai присваиваются номера), который эксперт также называет Shadows Kill.
Botnet #14 - DNS flood for 1 seconds
— Mirai Attacks (@MiraiAttacks) November 2, 2016
[Targets]
shadows.kill (8.8.8.8/32)
В своем блоге Бимонт пишет, что данная атака исходила от ботнета с самым большим потенциалом, что он когда-либо видел. Один из транзитных провайдеров подтвердил исследователю, что поток трафика доходил до 500 Гбит/с. Бимонт пишет, что данный ботнет, вероятнее всего, принадлежит тем же злоумышленникам, которые недавно атаковали Dyn.
Для либерийской инфраструктуры атака оказалась по-настоящему критической, так как за интернет в стране, по сути, отвечает пара телекоммуникационных компаний, владеющие единственным на всю страну подводным оптоволоконным кабелем. До 2011 года редкие жители страны, которые пользовались интернетом, вынуждены были делать это через спутник. Но затем вдоль западного побережья Африки был проложен оптоволоконный кабель ACE, который в общей сложности обслуживает 23 страны, при этом его общая пропускная способность равняется 5,1 Тб/с.
Бимонт и эксперты Level 3 Communications поясняют, что атакующие прицельно направили DDoS-атаку против двух либерийских компаний, которым принадлежит кабель, отвечающий за интернет в стране, что привело к практически полному «падению» интернета в Либерии.
«Данная атака – очень тревожный знак, говорящий о том, что у операторов Mirai-ботнета хватит мощностей, чтобы серьезно влиять на системы в масштабах государств», — пишет Бимонт.
Сейчас многие специалисты сходятся во мнениях, что Либерия представляет собой почти идеальный тестовый полигон для хакеров, и замеченная DDoS-атака – это лишь проверка возможностей ботнета. Также экспертов очень тревожит один простой вопрос: если ботнет на базе Mirai, атаковавший Dyn, насчитывал порядка 100 000 IoT-устройств, что произойдет, когда размеры ботнета возрастут и достигнут, например, миллиона девайсов?