这周末大家都在热议的事情就是,美国大半个互联网都瘫痪了,包括Twitter、GitHub、PayPal、Tumblr、Pinterest、索尼PS网络、华尔街日报等等网站都无法封路,美国人民很受伤。原因是一家DNS服务提供商Dyn遭遇了黑客的大规模DDoS攻击,导致大量网站的DNS查询得不到响应。
目前能够基本肯定的情报是,黑客利用Mirai恶意程序感染的IoT僵尸网络发起了本次攻击,或者说Mirai僵尸网络至少是发起本次攻击的一部分。这点儿情报实在是很不完整,至少我们得清楚,究竟是谁发起的攻击,为何针对Dyn发起攻击,这是美国量大情报机构FBI和DHS目前都在着力调查的事。
攻击前后持续了3波
我们在周六的快讯文章中大致谈到了这次攻击至少发生了2波,而CNBC的记者那个时候接到消息说,还有第三波攻击。从目前掌握的情报来看,黑客的确针对Dyn掀起了3波攻势,这也让本次攻击波及的范围不止于北美。
首波攻击大约发生在美国东部时间上周五的7:10 am(北京时间周五晚间8:10),这波攻击影响到了美国东海岸的网络访问——这是绝大部分媒体当时掌握到的情报。而大约在中午时分(北京时间大约周六凌晨),黑客又发起了第二波攻击,将DNS查询失败的范围影响到了西海岸——据说远在澳大利亚的用户也因此受到了持续5个小时的影响。
当时彭博社发表文章称:“在攻击高峰时段,Dynatrace监测到的2000个网站DNS连接时间大约需要16秒,原本500毫秒是正常的。”
实际上在下午5点左右(北京时间周六早晨6点),针对Dyn的第三波攻势再度发动。Dyn表示,本次攻击是“周密安排并执行的,攻击来自同一时间数千万IP”。路透社报道称,亚马逊的web服务部门反映,“攻击甚至临时影响到了西欧用户,周五晚间伦敦部分用户无法访问Twitter和部分新闻网站。PayPal公司也表示此次网络中断对部分地区的用户支付造成影响”。
Dyn首席安全官Kyle York表示,这波波攻击“非常聪明”,“我们开始做缓解工作,他们就立刻响应——而且始终如此”。“数千万信息都来自联网,且看似无害的设备,可能是DVR,或者CCTV摄像头,甚至恒温器。”
CNBC方面的消息称,美国国土安全部和未具名的情报机构似乎都不愿意透露,是谁发起了本次攻击。白宫新闻秘书Josh Earnest只是透露,国土安全部“正在监视当前状况”,“但此刻有关谁发起了本次恶意行动的问题,我这里没有任何信息。”
是谁发起了攻击?
官方不发声没关系,民间的声音还是有很多。WikiLeaks维基解密周六发布了一条推文,如下图所示。意思即是说:阿桑奇还活着,而且WikiLeaks当前也并没有停止运作,所以“我们请求支持者不要再攻击美国互联网”。
这显然就是在说,发起本次大规模DDoS攻击的正是其支持者。至于支持什么,FreeBuf周末曾发布一篇《维基解密创始人被“死亡”》的文章。其中就有提到,Twitter和Reddit先前发布维基解密创始人Julian Assange死亡的消息。不过维基解密很快澄清Assange还活着,只不过其互联网访问被“某政党”掐断。
厄瓜多尔政府方面确认,的确是切断了Assange的互联网访问(厄瓜多尔去年为Julian Assange提供政治庇护),“因为维基解密对美国总统大选造成了影响”。维基解密则发布消息说,厄瓜多尔是接到了美国国务卿John Kerry的命令才这么做的。这于是成为本次攻击的动因。
不过SecurityAffairs周六发布消息称,NewWorldHackers黑客组织已经确认,是他们针对Dyn的DNS服务发起的大规模攻击,而且其实参与者不光只有他们。NewWorldHacking表示,还有不少与Anonymous黑客组织相关的其他组织也共同参与了这次攻击。
“Anonymous,Pretty much of Anonymous!”
NewWorldHackers表示,他们主要是想确认其僵尸网络的实际表现,并且也明确提到这次的DDoS攻击主要是由Mirai僵尸网络发起的,当然另外还有其它力量。另外,NewWorldHackers说其实也不光是因为Assange事件,他们也是期望借由本次攻击给俄罗斯政府传递一个信号。
“如果俄罗斯要针对美国,那么我们就会针对俄罗斯。这是我们划出的一条线,我们就是要向俄罗斯发出警告。”
NewWorldHackers另外也已经向美国政治媒体《政客(Politico)》发出了声明,基本也是表达了上面的意思。不过话说,为了给予克里姆林宫警告,而不惜将本国互联网拉下马,这逻辑实在是…
两名自称是该组织旗下成员的人通过Twitter对美联社说:“我们这么做并不是为了吸引联邦机构的注意,而只是测试(僵尸网络的)性能。”他们还说,Twitter之上的@NewWorldHacking帐号是由30个人在管理的,其中20个人在俄罗斯,还有10个人在中国(!!!)。
虽然这个说法尚无法确认真伪,但先前这家组织的确也有针对类似攻击事件公开表示负责的先例,比如说9月份针对ESPNFantasySports.com的攻击,和去年年底针对BBC的攻击。
全面扩散中的Mirai僵尸网络
以上这些信息毕竟是国外媒体的一些传言,很多消息都无法确认其可靠性,Dyn也表示尚不明确究竟是谁发起的攻击。不过有一点几乎是可以肯定的,这次攻击和Mirai僵尸网络有莫大关联:Dyn公司就确认一大波被劫持的IoT物联网设备参与了此次大规模DDoS攻击。
安全情报公司Flashpoint就本次事件发布了一份报告,其中也提到其安全专家对Mirai僵尸网络进行了观察,并且确认Mirai的确参与到了Dyn攻击事件之中。
“Flashpoint确认,针对Dyn DNS服务发起本次DDoS攻击的基础设施,正是被Mirai恶意程序感染的僵尸网络。先前Mirai僵尸网络曾用于对安全研究人员Brian Krebs的博客,以及法国互联网服务与主机提供商OVH发起DDoS攻击。”…“不过针对Dyn的攻击,与先前针对Krebs on Security和OVH的攻击又是存在明显区别的。”
我们的“安全快讯”栏目就多次对Brian Krebs博客被攻击事件进行过追踪报道,并且也多次提到,Mirai恶意程序主要就是以类似路由器、DVR、安全摄像头之类设备为目标的恶意程序。
Mirai当前的感染范围
不过你可能不知道的是,Mirai的源码本月早前已经公布在了网上(一名Anna-senpai将之发布在黑客论坛Hackforum之上)。Level 3威胁研究实验室表示,在Mirai源码公布之前,他们观察到了大约21.3万被感染的设备,峰值数量是28万。不过在源码公布之后,这个数字很快就窜升到近50万。绝大部分被感染的IoT设备位于美国,巴西和哥伦比亚也有不少。源码公布大概成为Mirai广泛传播的一个重要原因。
有兴趣的各位可以点击这里,查看目前Mirai僵尸网络的分布情况。这个tracker提到,目前超过120万IP受到Mirai感染,而且是“至少”120万。
还有一件有趣的事情,Flashpoint研究负责人Allison Nixon表示:本次攻击“基于那些被黑的IoT设备,主要包括”“中国的雄迈科技制造的”“DVR和IP摄像头”。
跟中国企业有关!
雄迈科技是国内一家电子设备生产商——这家公司周日表示他们生产的设备“无意间”参与了本次攻击。产品中的默认密码成为安全缺口,造成了雄迈科技的DVR和IP摄像头被Mirai感染。
雄迈在致IDG News Service的邮件中提到:“Mirai对物联网而言是个大灾难。我们必须承认,我们的产品也遭遇了黑客入侵和非法利用。”由于这些设备的默认弱口令,Mirai得以进行感染传播。安全研究人员很早就发现,Mirai会尝试超过60组用户名、密码组合入侵设备。
雄迈科技表示已经于去年9月份对漏洞进行修复,要求用户在首次使用设备的时候修改默认密码——不过那些运行旧版固件的产品依旧存在漏洞,所以升级固件和修改默认用户名密码还是必须的。
未来随着物联网设备的进一步普及,接入互联网的设备会越来越多。这次DDoS攻击对物联网设备的利用此后必然还会加剧,这就要求生产此类设备的厂商真正将安全提上日程。而本次Dyn攻击事件也还在持续发酵中,FreeBuf会做进一步的追踪报道。