Mirai este un vierme și un botnet format din dispozitive Internet of Things piratate (compromise) (playere video, camere web inteligente etc.).
Botnet-ul Mirai a devenit posibil datorită implementării unei vulnerabilități care a constat în folosirea aceleiași parole, neschimbate, stabilite de producător pentru a accesa contul de administrator pe dispozitive „inteligente”. În total, el folosește 61 de combinații diferite de conectare-parolă pentru a accesa contul prin forță brută [1] . Studiile au arătat că o parte semnificativă a dispozitivelor vulnerabile au fost fabricate folosind componente fabricate de XiongMai Technologies, cu sediul în Hangzhou , și Dahua, China [2] .
În septembrie 2016, după publicarea unui articol despre grupurile care vând servicii botnet pentru a efectua atacuri DDoS , site-ul jurnalistului Brian Krebs a devenit victima unui atac DDoS la apogeu, care a atins apogeul la 665 Gb/s , ceea ce îl face unul dintre cele mai puternice atacuri DDoS cunoscute. Deoarece gazda site-ului a refuzat să continue să-și ofere serviciile gratuit, site-ul a trebuit să fie închis pentru o perioadă până când a fost găsită o nouă gazdă. Atacul a fost efectuat de un botnet de camere video „inteligente” infectate (care este un subset al Internetului lucrurilor). În octombrie același an, atacatorii au publicat codul sursă al malware-ului pe care l-au folosit (cunoscut sub numele de Mirai), ceea ce crea riscul reproducerii necontrolate a atacurilor de către alți atacatori [3] [4] .
Studiile au arătat că din 23 septembrie, când atacul a atins apogeul, peste 560.000 de dispozitive vulnerabile la acest tip de atac puteau fi găsite pe Internet [2] .
Vineri, 21 octombrie 2016, a avut loc un puternic atac distribuit de denial of service împotriva Dyn DNS, operatorul DNS din SUA . Atacul a avut loc în două valuri, primul a durat de la 11:10 UTC la 13:20 UTC, iar al doilea între 15:50 UTC și 17:00 UTC. În ciuda faptului că inginerii au reușit să ia rapid măsuri pentru a respinge atacul, acesta a afectat totuși utilizatorii de internet. Efectele atacului au putut fi văzute până în jurul orei 20:30 UTC în acea zi [5] .
Ambele valuri au atacat serverele companiei, care se aflau în diverse regiuni ale lumii (din Asia până în Statele Unite) [5] .
Atacul a fost amplificat de valul de reîncercări DNS pe care l-a provocat de la milioane de computere diferite din întreaga lume. Solicitările provocate prin IP și UDP către portul 53 au depășit de 40-50 de ori traficul normal (excluzând acele solicitări care nu au putut ajunge la serverele companiei ca urmare a măsurilor de protecție luate și a supraîncărcării canalelor de comunicare ) [5] . În urma atacului, au apărut probleme cu accesul la multe site-uri web, în special: Twitter , Etsy , GitHub , SoundCloud , Spotify , Heroku și altele [6] .
O investigație efectuată de companie a arătat că coloana vertebrală a atacului s-a bazat pe aproximativ 100.000 de dispozitive IoT controlate de varianta de malware Mirai [5] .
Rețele bot | |
---|---|
|