Одна из самых мощных атак на интернет-инфраструктуру на время вывела из строя десятки глобальных интернет-сервисов. Первый удар по американскому сегменту сети пришелся на утро пятницы, причем пострадало в первую очередь восточное побережье.
Испытывали перебои в работе или оказались недоступными вообще такие службы как Twitter, видео-сервис Netflix, платежная система Paypal, музыкальные сервисы Spotify и SoundCloud, сайты The New York Times и CNN. Пострадал крупнейший интернет-магазин, а также облачный провайдер Amazon.
Это был очень мощный DDoS — атака на отказ обслуживания, когда сервера не справляются с потоком ложных, мусорных запросов. Но били не по площадкам — главной целью была выбрана компания Dyn. Это инфраструктурный для сети бизнес, который обслуживает службу доменных имен — DNS, переводя IP-адреса в понятные нам имена доменов.
Выведя из строя Dyn, атакующие ударили и по всем его клиентам. За два часа сотрудники Dyn смогли справиться с проблемой, но потом последовала вторая волна атак, а через некоторое время и третья, причем последствия почувствовало уже и западное побережье, где сосредоточены интернет-проекты Силиконовой долины,
Природа атаки оказалась довольно необычной — почти всегда используются так называемые ботнеты, сети из сотен тысяч, а порою и миллионов зараженных вирусом зомби-компьютеров, которые по команде и засыпают цель мусорными запросами. Здесь же место пользовательских компьютеров занял Интернет вещей: огромное количество сетевых роутеров, веб-камер и других устройств, которые обычно подключены к скоростным каналам связи.
На превращении этого не слишком умного железа в ботнет специализируется вирус Mirai. Ирония в том, что заражение происходит простым подбором паролей. Дело в том, что очень часто, подключая к сети оборудование, люди не меняют заводские настройки, и вирус пользуется нехитрым словарем для подбора: admin-admin, root-deafult или даже 1111.
Чего хотели добиться атакующие и кто они — пока неясно. Точнее, существуют разные версии. Дело в том, что несколько DDoS той же природы месяц назад пережил блог известного специалиста по безопасности Брайана Кребса — он расследовал деятельность уже арестованных израильских DDoS вымогателей и роль в раскрытии этой группы американской компании Backconnect, которая устала бороться с хакерами и просто вскрыла их сама.
20 октября Кребс совместно с сотрудниками Dyn выпустил исследование на эту тему. С другой стороны, объявилась уже какая-то группировка хакеров "Новый порядок", которая утверждает, что последняя атака — проба сил на американцах, но главная их цель — Россия. Еще одна малоправдоподобная версия — месть неких сил, поддерживающих Джулиана Ассанжа, за то, что ему отключили доступ в Интернет в эквадорском посольстве, где он скрывается.
На популярном онлайн-форуме, посвященном утечкам, появилось сообщение о взломе ИИ-платформы, специально созданной для нужд киберкриминала. К посту прикреплен образец добычи — персональные данные, якобы принадлежащие юзерам WormGPT.
По словам автора атаки, ему суммарно удалось украсть информацию о 19 тыс. подписчиков хакерского ИИ-сервиса, в том числе их имейлы, ID и детали платежей.
Эксперты Cybernews изучили слитый образец февральских записей из базы и обнаружили, что они действительно содержат пользовательские данные и дополнительные сведения:
тип подписки;
валюта, в которой производилась оплата;
суммарная выручка по тому же тарифному плану.
Автор поста об атаке на WormGPT — хорошо известный форумчанин, на счету которого множество легитимных публикаций. Этот факт, по мнению исследователей, придает еще больше веса утверждению о взломе криминального ИИ-сервиса.
Утечка пользовательской базы WormGPT позволяет идентифицировать авторов атак с применением этого ИИ-инструмента. Злоумышленники могут ею воспользоваться, к примеру, для адресного фишинга или шантажа.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
