В пятницу, 21 октября, была зафиксирована крупная DDoS-атака на провайдера Dyn. Она привела к сбоям в работе таких ресурсов, как Twitter, Amazon, Reddit, Airbnb, Tumblr, GitHub, PayPal, Spotify, SoundCloud, Medium, The New York Times и Vox Media. В общей сложности Dyn работает с 6% компаний из списка Fortune 500. В атаке были задействованы «десятки миллионов отдельных IP адресов». По некоторым данным мощность атаки достигала 1,2 Тб/с. Ответственность за взлом на себя взяли New World Hackers, но эксперты говорят, что нападение было организовано через IoT-устройства.
Атака была замечена экспертами из службы X-Force IBM примерно в 12:30 PM EDT (8:30 МСК), говорится в отчете, присланном в редакцию theRunet. Аналитики выделили три этапа кибернападения. Первый начался в 7:00 AM EDT (15:00 МСК) 21 октября, второй — через 5 часов, в 12:00 PM EDT (8:00 МСК). «Третий был зафиксирован несколько позже, но во время него никакого ощутимого воздействия на систему не было», — указано в отчете. Нормальная работа сервисов была восстановлена в 1:00 PM EDT (21:00 МСК).
Представители группировки сказали, что поводом к проведению атаки послужило отключение интернета основателю WikiLeaks Джулиану Ассанжу, который находится в посольстве Эквадора в Лондоне. В отчете IBM также упоминается пост New World Hacking в Twitter, опубликованный 22 октября, где говорится о том, что группа уходит в отставку. «Мы взломали сеть не ради славы, а по определенной причине. Мы не хотим провести остаток жизни в тюрьме», — сообщили хакеры.
Сходства с атакой на OVH
Это нападение было одним из самых мощных за все время, в прошлый раз с такой же силой был атакован французский хостинг-провайдер OVH. Скорость трафика достигала 1 ТБ/с.
Ранее от тех же хакеров пострадал сайт KrebsOnSecurity, принадлежащий исследователю в области кибербезопасности Брайну Кребсу. Атака на Кребса была намного слабее, но и она тогда впечатлила экспертов.
В случае с OVH атака осуществлялась с помощью ботнета, состоящего более, чем из 150 тысяч IoT-устройств. При этом бот-сеть, использованная для атаки, была способна генерировать до 1,5 Тб/с, используя tcp/ack, tcp/ack+psh и tcp/syn, заметил Дмитрий Волков, руководитель департамента киберразведки, сооснователь Group-IB. Эксперт также подчеркнул, что Атаки на компании Dyn и OVH действительно стали самыми мощными в истории.
Cеть насчитывала 145 607 камер наблюдения, написал тогда в своем Twitter глава крупнейшего европейского хостинга.
Впоследствии исходный код составляющих ботнета Mirai, предположительно использованного при проведении этих атак, был опубликован пользователем «Anna-senpai» на андеграундном форуме, отметил Волков.
В сообщении содержались инструкции для настройки ботнета. Исходный код также появился на Github. Хакеры часто публикуют коды в открытом доступе, чтобы защитить себя, таким образом, доступ к вирусу появляется у многих разработчиков и автор кода больше не является его единственным владельцем. После этого доказать вину подозреваемого становится невозможно.
В случае с Mirai так и произошло. Как указано в отчете IBM, этот вирус использовался и при атаке Dyn. При этом оба нападения вполне могли быть организованы разными людьми, отмечает Денис Легезо, антивирусный эксперт «Лаборатории Касперского».
Публикация кодов имеет и позитивный эффект, они могут использоваться в образовательных целях, а также для выпуска патчей.
Как работают ботнет-сети?
Принцип работы подобных вирусов заключается в сканировании всего диапазона IP-адресов для поиска устройств со стандартными (дефолтными) учетными данными для заражения и распространения ботнета, рассказывает Волков. Задачу хакерам облегчает то, что сейчас нет никаких стандартов безопасности интернета вещей.
Мошенники получают доступ к устройствам интернета вещей с помощью подбора паролей, подыскать ключ к IoT-гаджетам проще, чем к ПК. Как правило, для доступа к «умной» технике используются стандартные комбинации.
Зачастую хакеры подключаются к устройствам благодаря тому, что разработчики используют один и тот же пароль для различных гаджетов. Как показывают исследования Positive Technologies, в ряде атак на IoT, помимо вышеперечисленных уязвимостей, использовались также бэкдоры, оставленные разработчиками (как правило в виде служебных учетных записей с одинаковым паролем на всех устройствах).
Через интернет вещей хакеры могут получить доступ к конфиденциальным данным пользователя. Например, через умные часы по Bluetooth можно подключиться к смартфону. «При этом устройство может «забирать» с подключенного смартфона учетные данные WiFi-точек и самостоятельно выходить в сеть Интернет без дополнительных действий владельца», — рассказывает Качалин.
В России стандарты безопасности в сфере IoT достаточно сложно выработать, поскольку «умные» гаджеты не так распространены, как в развитых странах.
Дальше — больше
По мнению экспертов, в будущем стоит ждать более серьезных и мощных атак. «Сейчас к интернету вещей подключено гораздо больше устройств, чем в предыдущие годы. Каждый день их становится все больше, и они защищены меньше, чем когда-либо. Из-за этого хакерам проще их скомпрометировать и использовать в собственных целях», — отметили эксперты из исследовательского подразделения Cisco Talos, занимающимся мониторингом и анализом киберугроз.
Аналитики Cisco также подчеркнули, что атаки становятся более продуманными. Хакеры концентрируются на конкретной цели, из-за чего атаку сложнее предотвратить.
Кроме того, стоит иметь резервное соединение, чтобы в при DDoS-атаке сайт компании оставался доступным для пользователей.
Фактически, сейчас нет никаких серьезных способов защиты IoT от хакеров и ответственность за безопасность лежит, скорее, на вендорах, «которым необходимо уделять больше внимания безопасности умных устройств на этапе производства», — говорит Легезо. Также за безопасностью интернета вещей должны следить представители госструктур и разрабатывать законодательную базу и новые стандарты использования подобных устройств. Если же никакие меры не будут предприняты, то новые атаки могут стать угрозой нормального функционирования всего интернета.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.