Донецкий техникум промышленной автоматики

Кібератака на сервери DNS-провайдера Dyn: як це було

  1. Що трапилося?
  2. Що таке DNS і що таке DDoS-атака?
  3. Як зловмисники здолали Dyn?
  4. При чому тут звичайні користувачі?
  5. Чому найпотужніший ботнет вийшов саме з Інтернету речей?
  6. Чому це так небезпечно?
  7. Як не стати частиною ботнету?

Можливо, ви чули, що в минулу п'ятницю більше восьми десятків великих сайтів і сервісів, включаючи Twitter, Amazon, PayPal і Netflix, не працювали через хакерську атаку. Давайте розберемося, що сталося, чому це так небезпечно і як ця подія стосується всіх і кожного - і нас з вами теж. Можливо, ви чули, що в минулу п'ятницю більше восьми десятків великих сайтів і сервісів, включаючи Twitter, Amazon, PayPal і Netflix, не працювали через хакерську атаку

Що трапилося?

21 жовтня хтось (і до цих пір невідомо хто) провів серію атак на американську інтернет-інфраструктуру. Робилося це в три заходи. Від першого найбільше постраждало Східне узбережжя Північної Америки. Другу хвилю відчули жителі Каліфорнії і Середнього Заходу, а також Європи. Третю хвилю помітили за великим рахунком тільки співробітники американського DNS-провайдера Dyn , Який і був метою всіх трьох атак. Власне, третю атаку ІТ-фахівцям компанії вдалося відбити, але, поки Dyn вирішував свої проблеми, 85 великих сайтів працювали з перебоями або взагалі були недоступні.

Наприклад, американці не могли дивитися серіали на Netflix, відправляти грошові перекази за допомогою PayPal, грати в онлайн-ігри на Sony PlayStation, і навіть розповісти про подію в Twitter теж було не можна, оскільки соцмережа «лежала».

Також постраждали музичні сервіси Spotify і SoundCloud, новинні сайти The New York Times, CNN та багато інших ресурси. На особливу увагу хакерів удостоїлося підрозділ Amazon в Західній Європі - його злочинці атакували окремо, і воно теж не працювало якийсь час.

Так як же це сталося? Для того щоб відповісти на це питання, треба пояснити, що таке DNS - система доменних імен - і як влаштовані сучасні атаки.

Що таке DNS і що таке DDoS-атака?

Почнемо з DNS - системи доменних імен, або Domain Name System. Просте пояснення таке. Кожному сайту відповідає цифрова адреса. Наприклад, сайт blog.kaspersky.ru живе по IP-адресою 161.47.21.156. DNS-сервер служить свого роду адресною книгою - з його допомогою браузер визначає, з якого IP-адресою шукати той чи інший сайт.

Якщо DNS-сервер не відповідає на запит, браузер не може зрозуміти, звідки отримувати інформацію. Тому DNS-сервери - це частина критичної інфраструктури Інтернету, а DNS-провайдери - важливі організації, які забезпечують їх роботу.

DDoS-атаки (Distributed Denial of Service - розподілена атака типу «відмова в обслуговуванні») викликає перебої в роботі або падіння сайту через те, що його сервери не справляються з великою кількістю помилкових, сміттєвих запитів. Для проведення DDoS-атак злочинцям потрібно відправити дуже багато запитів, а для цього потрібно дуже багато пристроїв. Так що в більшості випадків вони використовують цілі армії з зламаних пристроїв - ботнети .

Як зловмисники здолали Dyn?

Швидше за все, ви вже все зрозуміли, але ми про всяк випадок все ж розповімо. DDoS-атака на Dyn проводилася за допомогою гігантського ботнету, що включав десятки мільйонів пристроїв: IP-камери, роутери, принтери та інші пристрої з Інтернету речей. Всі разом вони передавали дані на сервери Dyn зі швидкістю 1,2 Тбіт / с. Зловмисники не просили викуп і не пред'являли ніяких інших вимог.

Власне, вони взагалі себе ніяк не виявляли. Так що поки невідомо, хто насправді у відповіді за те, що сталося. Хакерські угрупування New World Hackers і RedCult взяли відповідальність на себе. RedCult до того ж обіцяла провести інші подібні атаки в майбутньому.

При чому тут звичайні користувачі?

Те, що протягом досить тривалого часу безліч людей не могли нормально користуватися великою кількістю інтернет-сервісів, - вже досить серйозна проблема. збиток оцінюється в $ 110 млн, ну і просто незручно це, коли улюблений і звичний сервіс не працює. Але навіть якщо особисто вас трапилося ніяк не торкнулося, це не означає, що ви не брали в цьому участь.

Як так?

Щоб сформувати ботнет, зловмисникам потрібно зламати підключені до Інтернету пристрої. Після цього вони служать двом господарям: працюють для свого власника, як зазвичай, а також атакують веб-сайти по команді кіберзлодіїв. В атаці на Dyn були задіяні мільйони таких зламаних пристроїв.

Для створення ботнету зловмисники використовували шкідливе програмне забезпечення Mirai. Працює воно досить просто: знаходить пристрої з Інтернету речей і перебирає паролі, поки не отримає доступ з правами адміністратора. В основному рядовими зомбі ботнету Mirai стають гаджети користувачів, полін або не зуміли змінити налаштування і паролі, встановлені виробником за замовчуванням. Тобто, наприклад, ваша підключена до Мережі ТВ-приставка теж могла виявитися частиною ботнету і взяти участь в атаці, просто ви про це не знаєте.

У вересні цього року невідомі використовували це ПО, щоб перервати роботу блогу фахівця з безпеки Брайана Кребса. 380 тисяч зомбованих пристроїв обрушили на сервер сайту непосильне навантаження - до 665 Гбіт / с. Провайдер довго тримав оборону, але потім здався, не витримавши натиску. Блог запрацював знову, тільки коли Google взяв його під своє крило і захистив від злочинців.

Незабаром після цієї атаки користувач Інтернету з ніком Anna-senpai опублікував вихідний код зловреда на підпільному форумі, і злочинці всіх мастей відразу взяли його на озброєння. З тих пір число ботів Mirai постійно зростає. Буквально через місяць після публікації вихідного коду невідомі використовували зомбовані пристрої для атаки на Dyn.

Чому найпотужніший ботнет вийшов саме з Інтернету речей?

DDoS зараз дуже популярний вид атаки. Злочинці вже створюють ботнети за допомогою пристроїв з Інтернету речей, і далі буде тільки гірше: як ми вже неодноразово писали , Інтернет речей дірявий і вразливий, і найближчим часом це не зміниться.

Виробники розумних пристроїв мало що роблять, щоб захистити свої гаджети і пояснити користувачам, як важливо міняти стандартні паролі на камерах, роутерах, принтерах і інших пристроях. Власне, вони не завжди дозволяють їх змінювати.

Зараз до Мережі підключено від 7 млрд до 19 млрд IoT-пристроїв, і, за найскромнішими оцінками, в найближчі п'ять років це число зросте до 30-50 млрд. Майже напевно значна частина цих пристроїв буде не дуже добре захищена. Мало того що пристрої, скомпрометовані Mirai, все ще активні - нові гаджети поповнюють ряди армії ботів з кожним днем.

Чому це так небезпечно?

Цілями для атак своїх сверхмногочісленних армій ботів зловмисники чомусь все частіше вибирають об'єкти критичної інфраструктури - електричні підстанції , комунальні підприємства і, так, DNS-провайдерів.

Уже два роки співробітники компаній, що забезпечують роботу глобальної мережевої інфраструктури (провайдери DNS, магістральні провайдери та інші організації), спостерігають , Як невідомі зловмисники перевіряють Інтернет на міцність за допомогою потужних і тривалих DDoS-атак.

Ботнети ростуть, так що рано чи пізно перевірки на міцність закінчаться і почнеться повномасштабна атака. Уявіть собі кілька десятків зломів на кшталт того, що стався з Dyn, але сталися одночасно, - і ви приблизно зрозумієте, чого чекати. Такими темпами можна просто залишитися без Інтернету.

Як не стати частиною ботнету?

Кожна окрема людина навряд чи може зробити щось з проблемами такого глобального масштабу. Але тут важлива колективна відповідальність - якщо все люди дбатимуть про безпеку своїх пристроїв, ботнети начебто Mirai якщо і залишаться, то як мінімум стануть значно менше.

Якщо ви хочете зменшити ймовірність того, що ваш принтер, роутер або термостат одного разу буде використовуватися для того, щоб залишити весь світ без соцмереж, платіжних сервісів і онлайн-кінотеатрів, то потрібно зробити кілька простих речей.

    1. Поміняти паролі за замовчуванням на всіх своїх пристроях. Використовуйте складні паролі, які не вийде швидко зламати простим перебором.
    2. Оновити прошивку в усіх старих гаджетах, якщо оновлення доступні.
    3. Ретельніше вибирати «розумні» пристрої. Точно їм усім так потрібно бути підключеними до Інтернету? Може, замість Wi-Fi-холодильника можна вибрати звичайний? Також радимо почитати про пристрій, перш ніж купувати його: якщо виявиться, що в ньому використовується вшитий виробником пароль, який не можна змінити, то від покупки такого пристрою варто відмовитися.

Що трапилося?
Що таке DNS і що таке DDoS-атака?
Як зловмисники здолали Dyn?
При чому тут звичайні користувачі?
Чому найпотужніший ботнет вийшов саме з Інтернету речей?
Чому це так небезпечно?
Як не стати частиною ботнету?
Що трапилося?
Так як же це сталося?
Що таке DNS і що таке DDoS-атака?