为 Twitter、Reddit、PayPal,以及大量其他网站提供核心服务的 Dyn 公司经常遭遇 DDoS 攻击,最新一次攻击在 2016 年 10 月 21 日协调世界时(UTC)早 11 点至晚 6 点造成了重大的互联网服务中断。根据安全公司Flashpoint 的介绍,此次攻击至少在部分程度上利用了被黑的物联网设备。
安全专家 Brian Krebs引用了Flashpoint 安全研究总监 Allison Nixon 的说法,认为至少一部分攻击是通过基于 Mirai 的僵尸网络发布的,这一假设也得到了 Level 3 首席安全官 Dale Drew 的支持。
Mirai 是一种恶意软件,就在攻击 Dyn 前一个月曾被用于针对Krebs 网站发起620Gbps 的DDoS 攻击。Mirai 会通过暴力方式利用弱密码试图感染物联网设备,其创造者已在本月初将其开源。对Mirai 源代码的分析发现该软件的僵尸部分使用C 语言编写,命令与控制部分使用Go 编写。此外该软件针对不同制造商的设备所用的密码字典,以及忽略的IP 地址范围列表均已公开。有趣的是,一旦Mirai 劫持了设备,会试图清除设备上可能运行的其他恶意软件,这是为了实现设备攻击潜力的最大化,并防止自己可能被其他恶意软件清除。
根据 Nixon 的介绍,攻击 Dyn 的僵尸网络中至少有一个主要由被攻陷的数字视频录像机和摄像头组成,这些设备均由中国 OEM 厂商雄迈科技(XiongMai Technologies)制造。目前尚不确定是否有其他僵尸网络参与了此次攻击。
Mirai 的问题之一在于,用户通常并不知道自己的物联网设备上运行着 SSH 和 Telnet 服务。此外 CERT 协调中心的资深漏洞分析师 Will Dormann发现,很多供应商的设计使得用户无法轻易更改设备密码。这意味着在全球范围内召回这些不安全的设备之前,可能会有数百万设备被滥用并发起类似的攻击。
查看英文原文: Insecure IoT Devices were Hacked in Major Internet Outage
注册/登录 InfoQ 发表评论