Mirai (ботнет)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Mirai — червь и ботнет, образованный взломанными (скомпрометированными) устройствами типа «интернет вещей» (видеопроигрыватели, «умные» веб-камеры, прочее).

Ботнет Mirai стал возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах. Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора[1]. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы XiongMai Technologies с офисом в Ханчжоу, и фирмы Dahua, Китай[2].

История[править | править код]

Атака против Брайана Кребса[править | править код]

В сентябре 2016 года после публикации статьи о группировках, которые продают услуги ботнетов для осуществления DDoS-атак, веб-сайт журналиста Брайана Кребса (англ. Brian Krebs) сам стал жертвой DDoS-атаки, трафик которой на пике достиг 665 Гб/с, что делает её одной из самых мощных известных DDoS-атак. Поскольку хостер сайта отказался дальше бесплатно предоставлять свои услуги, сайт пришлось на некоторое время закрыть, пока не был найден новый хостер. Атака была осуществлена ботнетом из зараженных «умных» видео-камер (что является подмножеством интернета вещей). В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО (известное под названием Mirai), чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками[3][4].

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых для подобного типа атак[2].

Атака против Dyn DNS[править | править код]

Основная статья: Кибератака на Dyn

В пятницу, 21 октября 2016 года произошла мощная распределенная атака на отказ в обслуживании против Dyn DNS, оператора DNS в США. Атака проходила в две волны, первая длилась с 11:10 UTC до 13:20 UTC, и вторая в промежутке между 15:50 UTC и 17:00 UTC. Несмотря на то, что инженерам удалось оперативно принять меры для отражения атаки, она все же сказалась на интернет-пользователях. Последствия атаки можно было заметить вплоть до примерно 20:30 UTC того же дня[5].

Обе волны атаковали серверы компании, которые находились в различных регионах мира (от Азии до Соединенных Штатов)[5].

Атака была усилена спровоцированным ею потоком повторных запросов (англ. DNS retry) от миллионов различных компьютеров по всему миру. Спровоцированные запросы через IP и UDP на порт 53 превышали нормальный трафик в 40-50 раз (без учета тех запросов, которые не смогли добраться до серверов компании в результате принятых защитных мер и перегрузки каналов связи)[5]. В результате атаки возникли проблемы с доступом ко многим веб-сайтам, в частности: Twitter, Etsy, GitHub, SoundCloud, Spotify, Heroku, и другие[6].

Проведенное компанией расследование показало, что костяк атаки опирался на около 100 тысяч устройств типа «интернет вещей» управляемых вариантом вредоносного ПО Mirai[5].

См. также[править | править код]

Примечания[править | править код]

  1. Steve Ragan. Here are the 61 passwords that powered the Mirai IoT botnet (недоступная ссылка). CSO Online (3 жовтня 2016). Дата обращения: 28 октября 2016. Архивировано 7 октября 2016 года.
  2. 1 2 Zach Wikholm. When Vulnerabilities Travel Downstream (недоступная ссылка). Flashpoint (7 жовтня 2016). Архивировано 7 ноября 2016 года.
  3. Catalin Cimpanu. Akamai Boots Krebs from Their Network After Never-Ending DDoS Attack (недоступная ссылка). Softpedia (23 вересня 2016). Дата обращения: 28 октября 2016. Архивировано 14 октября 2016 года.
  4. Catalin Cimpanu. Akamai Post-Mortem Report Confirms Mirai as Source of Krebs DDoS Attacks (недоступная ссылка). Softpedia (5 жовтня 2016). Дата обращения: 28 октября 2016. Архивировано 6 октября 2016 года.
  5. 1 2 3 4 Scott Hilton. Dyn Analysis Summary Of Friday October 21 Attack (недоступная ссылка) (October 26, 2016). Дата обращения: 28 октября 2016. Архивировано 29 октября 2016 года.
  6. Brad Chacos. Major DDoS attack on Dyn DNS knocks Spotify, Twitter, Github, PayPal, and more offline. PC World (21 жовтня 2016).

Ссылки[править | править код]