Dostęp do wielu popularnych witryn w internecie takich jak Twitter, Reddit, Spotify, Amazon, PayPal i nie tylko, został zablokowany na kilka godzin w dniu 21.10.2016. Te kilka godzin wystarczyło, żeby zaburzyć funkcjonowanie globalnej sieci.

Był to efekt ataku na firmę Dyn, która świadczy usługi sieciowe, w tym obsługę DNS. Mówiąc w uproszczeniu – przekształca ona wyrażony w liczbach adres strony na taki zrozumiały dla człowieka. Dzięki temu zamiast wstukiwać w przeglądarkę ciąg cyfr wystarczy wpisać np. liceumdubois.pl zamiast adresu IP strony.

Atak został przeprowadzony w dość prymitywny sposób. Hakerzy wykorzystali metodę DDoS, polegająca na generowaniu ogromnej ilości sztucznych zapytań. Jako, ze atak został przeprowadzony z użyciem botnet’u, metoda filtracji zapytań w czasie rzeczywistym stała się nie skuteczna.

Mirai IoT to nazwa botnetu, ktory zostal wykorzystany do przeprowadzenia ataku na firme Dyn. Skrót IoT pochodzi od terminu Internet of things czyli internet rzeczy. Do zatrzymania usługi DNS nie zostały użyte tylko komputery, ale również inne rzeczy, które były podłączone do internetu, takie jak drukarki i kamery CCTV. W przypadku Mirai, oprogramowanie używa małych pakietów sieciowych, które są wysyłane do urządzeń sieciowych w pobliżu docelowych serwerów, aczkolwiek oprogramowanie może atakować także rzeczywiste serwery. Problemem w tego typu atakach jest to, że tak naprawdę rozmiar pakietu nie ma znaczenia. Routery poświęcają tyle samo czasu na analizę każdego pakietu, a więc nie liczy się ich wielkość, tylko ilość i duża liczba pakietów może powodować poważne w skutkach zatory sieciowe. Czyli mniejsze pakiety, ale w dużej ilości, są bardziej zabójcze dla urządzeń sieciowych, niż kilka dużych pakietów. Mirai przeważnie instaluje się na urządzeniach z domyślnymi hasłami, a następnie łączy się z serwerami IRC i oczekuje na rozkazy. Złośliwe oprogramowanie nawet nie stara się ukrywać przed oprogramowaniem antywirusowym i jest bardzo proste, jeśli chodzi o analizy. Producenci oprogramowania prawdopodobnie założyli, że na urządzeniach IoT nie będzie zainstalowanych żadnych antywirusów lub nie mieli doswiadczenia w pisaniu tego typu malware’u. Kod oprogramowania został napisany w języku angielskim, ale niektóre komentarze są napisane w języku rosyjskim. To powoduje, że podejrzenia są kierowane w kierunku rosyjskich hakerow. Mirai, mimo że jest dosyć prymitywne, posiada kilka interesujących rzeczy. Boty Mirai są napisane tak, aby w prosty sposób unikać wykrycia oraz posiadają wbudowaną listę adresów IP. Ze skanowania są wykluczone adresacje Departamentu Obrony USA, Urzędu Pocztowego USA, firm HP oraz GE i Internet Assigned Numbers Authority. Aby sie rozprzestrzeniac Mirai wykorzystuje slownik skladajacy sie z 61 najczesciej uzywanych hasel i sprawdzal wszystkie po kolei. W przypadku Mirai, oprogramowanie używa małych pakietów sieciowych, które są wysyłane do urządzeń sieciowych w pobliżu docelowych serwerów, aczkolwiek oprogramowanie może atakować także rzeczywiste serwery. Problemem w tego typu atakach jest to, że tak naprawdę rozmiar pakietu nie ma znaczenia. Routery poświęcają tyle samo czasu na analizę każdego pakietu, a więc nie liczy się ich wielkość, tylko ilość i duża liczba pakietów może powodować poważne w skutkach zatory sieciowe. Czyli mniejsze pakiety, ale w dużej ilości, są bardziej zabójcze dla urządzeń sieciowych, niż kilka dużych pakietów. Teraz kiedy został udostępniony kod źródłowy Mirai, można się spodziewać większej fali ataków DDoS za pomocą tego narzędzia. Przypomnijmy, że malware doprowadziło do największego ataku DDoS, który przeprowadzony z wykorzystaniem IoT.

Źródła: http://www.computerworld.com/article/3135434/security/ddos-attack-on-dyn-came-from-100000-infected-devices.html
https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html http://silencenews.com/czym-jest-mirai-czyli-jak-przeprowadzic-atak-ddos-za-pomoca-internetu-rzeczy/