Специалисты компании Imperva Incapsula сообщили о появлении нового ботнета, использующего странную версию трояна Mirai.
Напомню, что исходные коды оригинальной версии Mirai были опубликованы в открытом доступе осенью 2016 года, и после этого с цепи сорвался настоящий IoT-хаос. Все, кому не лень, решили построить на базе Mirai собственные ботнеты. В итоге сотни тысяч устройств, подключенных к интернету вещей, атаковали DNS-провайдеров и ключевую инфраструктуру целых стран; маршрутизаторы некоторых операторов связи массово отказывали из-за атак; а ботнеты из камер наблюдения, DVR-систем и роутеров стали не просто «обычным явлением», но большой проблемой. Более подробно с хронологией развития угрозы Mirai можно ознакомиться в нашем дайджесте за 2016 год.
В конце концов исходная версия Mirai эволюционировала, научилась использовать не только простой брутфорс, но и протоколы TR-064 и TR-069, а уже в 2017 году исследователи обнаружили, что Mirai теперь и вовсе распространяют посредством Windows-малвари.
Однако специалисты Imperva Incapsula пишут, что все эти версии вредоноса объединял своеобразный «общий знаменатель» — все они использовались для организации network layer DDoS. Но 28 февраля 2017 года исследователи обнаружили нечто новое. Какой-то Mirai-ботнет (судить о том, какой именно, очень сложно в силу широкого распространения Mirai) устроил затяжную application layer атаку на неназванное учебное заведение.
Атака началась 28 февраля и длилась 54 часа без перерывов. Неизвестные атаковали американский колледж, и средняя мощность атаки составляла 30 000 запросов в секунду, тогда как пиковая мощность достигала 37 000 запросов. Суммарно за два с половиной дня Mirai-ботнет сгенерировал 2,8 млрд запросов.
По данным Imperva Incapsula, ботнет традиционно состоял из различных IoT-устройств (камер, роутеров, DVR). Аналитикам удалось зафиксировать активность 9 793 IP-адресов в самых разных уголкам мира.
Также исследователи обратили внимание, что боты использовали более 30 необычных user-agent’ов, отличных от жестко закодированных в «классической» версии Mirai. Это обстоятельство, а также размах атаки, заставляют исследователей предположить, что новая вариация вредоноса создавалась специально для изощренных application layer атак.
Фото: Thinkstock