为Twitter、Reddit、PayPal,以及大量其他网站提供核心服务的Dyn公司经常遭遇DDoS攻击,最新一次攻击在2016年10月21日协调世界时(UTC)早11点至晚6点造成了重大的互联网服务中断。根据安全公司Flashpoint的介绍,此次攻击至少在部分程度上利用了被黑的物联网设备。
安全专家Brian Krebs引用了Flashpoint安全研究总监Allison Nixon的说法,认为至少一部分攻击是通过基于Mirai的僵尸网络发布的,这一假设也得到了Level 3首席安全官Dale Drew的支持。
Mirai是一种恶意软件,就在攻击Dyn前一个月曾被用于针对Krebs网站发起620Gbps的DDoS攻击。Mirai会通过暴力方式利用弱密码试图感染物联网设备,其创造者已在本月初将其开源。对Mirai源代码的分析发现该软件的僵尸部分使用C语言编写,命令与控制部分使用Go编写。此外该软件针对不同制造商的设备所用的密码字典,以及忽略的IP地址范围列表均已公开。有趣的是,一旦Mirai劫持了设备,会试图清除设备上可能运行的其他恶意软件,这是为了实现设备攻击潜力的最大化,并防止自己可能被其他恶意软件清除。
根据Nixon的介绍,攻击Dyn的僵尸网络中至少有一个主要由被攻陷的数字视频录像机和摄像头组成,这些设备均由中国OEM厂商雄迈科技(XiongMai Technologies)制造。目前尚不确定是否有其他僵尸网络参与了此次攻击。
Mirai的问题之一在于,用户通常并不知道自己的物联网设备上运行着SSH和Telnet服务。此外CERT协调中心的资深漏洞分析师Will Dormann发现,很多供应商的设计使得用户无法轻易更改设备密码。这意味着在全球范围内召回这些不安全的设备之前,可能会有数百万设备被滥用并发起类似的攻击。
查看英文原文:Insecure IoT Devices were Hacked in Major Internet Outage