Кто-то опубликовал код программы для крупнейшей DDoS-атаки. И это не альтруизм
Почти сразу после самой мощной DDoS-атаки в истории интернета кто-то опубликовал исходный код программы, которая для нее использовалась. Специалист по безопасности Брайан Кребс, чей сайт и был атакован, считает, что злоумышленники, распространяя код, пытаются обезопасить себя. «Медуза» пересказывает пост Брайана Кребса.
В конце сентября сайт специалиста по безопасности Брайана Кребса подвергся самой мощной DDoS-атаке за всю историю интернета. Атака была местью за то, что Кребс раскрыл имена двух владельцев сервиса для вывода сайтов из строя. Несколько дней блог Кребса был недоступен, но потом его взял под защиту Google — и сайт заработал снова. Атака велась с устройств «интернета вещей»: IP-камер, роутеров и других «умных» девайсов. «Медуза» подробно писала об этом.
Спустя неделю после восстановления работы сайта на хакерском форуме выложили код программы, которая использовалась для обрушения сайта Брайана Кребса. Пользователь под ником Anna-senpai опубликовал его и рассказал, что сам использовал его для атак — но теперь решил прекратить заниматься этим, поскольку после атаки на Кребса специалисты по безопасности уделяют слишком много внимания таким людям, как он.
Хакер назвал свое вредоносное программное обеспечение Mirai. По его словам, при помощи этого ПО ему удавалось объединить до 380 тысяч устройств и заставить их отправлять запросы на желаемую цель. После атаки на сайт Брайна Кребса число устройств сократилось до 300 тысяч и продолжает падать, поскольку провайдеры начали их блокировать.
Mirai — одно из двух (по меньшей мере) крупных семейств вредоносного ПО, которое используется для объединения в ботнет устройств «интернета вещей». По оценке компании Level3 Communications, под управлением другого семейства — Bashlight — находятся около миллиона устройств.
Для атак используются устройства, на которых не сменили стандартный пароль. Вредоносные программы постоянно сканируют интернет и получают доступ к слабозащищенным устройствам. Чтобы прекратить доступ, достаточно перезагрузить устройство — но сканирование происходит так часто, что в течение нескольких минут устройство может быть захвачено снова.
Поскольку число подключенных устройств «интернета вещей» в 2016 году достигнет более шести миллиардов единиц, хакерам будет чем воспользоваться для атак. Специалисты по безопасности из компании Sukuri указывают, что в недавней атаке на их клиента применялись исключительно роутеры, на которых пользователи редко меняют пароли.
Брайан Кребс полагает, что публикация исходного кода программы для DDoS-атак — это не альтруистический шаг. По его мнению, хакер, вероятно, опасается преследования — и стремится, чтобы код был не только у его создателей, но и у посторонних людей.