26 октября 2016

Что случилось с Twitter, PayPal, Amazon и другими американскими сервисами

Безопасность Угрозы

Возможно, вы слышали, что в прошлую пятницу более восьми десятков крупных сайтов и сервисов, включая Twitter, Amazon, PayPal и Netflix, не работали из-за хакерской атаки. Давайте разберемся, что произошло, почему это так опасно и как это происшествие касается всех и каждого — и нас с вами тоже.

Что случилось с Twitter, PayPal, Amazon и другими американскими сервисами

Что случилось?

21 октября кто-то (и до сих пор неизвестно кто) провел серию атак на американскую интернет-инфраструктуру. Делалось это в три захода. От первого больше всего пострадало Восточное побережье Северной Америки. Вторую волну ощутили жители Калифорнии и Среднего Запада, а также Европы. Третью волну заметили по большому счету только сотрудники американского DNS-провайдера Dyn, который и был целью всех трех атак. Собственно, третью атаку ИТ-специалистам компании удалось отразить, но, пока Dyn решал свои проблемы, 85 крупных сайтов работали с перебоями или вообще были недоступны.

Например, американцы не могли смотреть сериалы на Netflix, отправлять денежные переводы с помощью PayPal, играть в онлайн-игры на Sony PlayStation, и даже рассказать о произошедшем в Twitter тоже было нельзя, поскольку соцсеть «лежала».

Также пострадали музыкальные сервисы Spotify и SoundCloud, новостные сайты The New York Times, CNN и многие другие ресурсы. Особого внимания хакеров удостоилось подразделение Amazon в Западной Европе — его преступники атаковали отдельно, и оно тоже не работало какое-то время.

Так как же это произошло? Для того чтобы ответить на этот вопрос, надо пояснить, что такое DNS — система доменных имен — и как устроены современные атаки.

Что такое DNS и что такое DDoS-атака?

Начнем с DNS — системы доменных имен, или Domain Name System. Простое объяснение такое. Каждому сайту соответствует цифровой адрес. Например, сайт blog.kaspersky.ru живет по IP-адресу 161.47.21.156. DNS-сервер служит своего рода адресной книгой — с его помощью браузер определяет, по какому IP-адресу искать тот или иной сайт.

Если DNS-сервер не отвечает на запрос, браузер не может понять, откуда получать информацию. Поэтому DNS-серверы — это часть критической инфраструктуры Интернета, а DNS-провайдеры — важные организации, которые обеспечивают их работу.

DDoS-атака (Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») вызывает перебои в работе или падение сайта из-за того, что его серверы не справляются со множеством ложных, мусорных запросов. Для проведения DDoS-атак преступникам нужно отправить очень много запросов, а для этого нужно очень много устройств. Так что в большинстве случаев они используют целые армии из взломанных устройств — ботнеты.

Как злоумышленники одолели Dyn?

Скорее всего, вы уже все поняли, но мы на всякий случай все же расскажем. DDoS-атака на Dyn проводилась с помощью гигантского ботнета, включавшего десятки миллионов устройств: IP-камеры, роутеры, принтеры и другие устройства из Интернета вещей. Все вместе они передавали данные на серверы Dyn со скоростью 1,2 Тбит/с. Злоумышленники не просили выкуп и не предъявляли никаких других требований.

Собственно, они вообще себя никак не проявляли. Так что пока неизвестно, кто на самом деле в ответе за произошедшее. Хакерские группировки New World Hackers и RedCult взяли ответственность на себя. RedCult к тому же обещала провести другие подобные атаки в будущем.

При чем тут обычные пользователи?

То, что в течение довольно длительного времени множество людей не могли нормально пользоваться большим количеством интернет-сервисов, — уже довольно серьезная проблема. Ущерб оценивается в $110 млн, ну и просто неудобно это, когда любимый и привычный сервис не работает. Но даже если лично вас случившееся никак не затронуло, это не значит, что вы не принимали в этом участие.

Как так?

Чтобы сформировать ботнет, злоумышленникам нужно взломать подключенные к Интернету устройства. После этого они служат двум хозяевам: работают для своего владельца, как обычно, а также атакуют веб-сайты по команде киберзлодеев. В атаке на Dyn были задействованы миллионы таких взломанных устройств.

Для создания ботнета злоумышленники использовали вредоносное программное обеспечение Mirai. Работает оно довольно просто: находит устройства из Интернета вещей и перебирает пароли, пока не получит доступ с правами администратора. В основном рядовыми зомби ботнета Mirai становятся гаджеты пользователей, поленившихся или не сумевших изменить настройки и пароли, установленные производителем по умолчанию. То есть, например, ваша подключенная к Сети ТВ-приставка тоже могла оказаться частью ботнета и принять участие в атаке, просто вы об этом не знаете.

В сентябре этого года неизвестные использовали это ПО, чтобы прервать работу блога специалиста по безопасности Брайана Кребса. 380 тысяч зомбированных устройств обрушили на сервер сайта непосильную нагрузку — до 665 Гбит/с. Провайдер долго держал оборону, но потом сдался, не выдержав натиска. Блог заработал вновь, только когда Google взял его под свое крыло и защитил от преступников.

Вскоре после этой атаки пользователь Интернета с ником Anna-senpai опубликовал исходный код зловреда на подпольном форуме, и преступники всех мастей тут же взяли его на вооружение. С тех пор число ботов Mirai постоянно растет. Буквально через месяц после публикации исходного кода неизвестные использовали зомбированные устройства для атаки на Dyn.

Почему самый мощный ботнет получился именно из Интернета вещей?

DDoS сейчас очень популярный вид атаки. Преступники уже создают ботнеты с помощью устройств из Интернета вещей, и дальше будет только хуже: как мы уже неоднократно писали, Интернет вещей дыряв и уязвим, и в ближайшее время это не изменится.

Производители умных устройств мало что делают, чтобы защитить свои гаджеты и объяснить пользователям, как важно менять стандартные пароли на камерах, роутерах, принтерах и других устройствах. Собственно, они не всегда позволяют их менять.

Сейчас к Сети подключено от 7 млрд до 19 млрд IoT-устройств, и, по самым скромным оценкам, в ближайшие пять лет это число вырастет до 30–50 млрд. Почти наверняка значительная часть этих устройств будет не очень хорошо защищена. Мало того что устройства, скомпрометированные Mirai, все еще активны — новые гаджеты пополняют ряды армии ботов с каждым днем.

Почему это так опасно?

В качестве целей для атак своих сверхмногочисленных армий ботов злоумышленники почему-то все чаще выбирают объекты критической инфраструктурыэлектрические подстанции, коммунальные компании и, да, DNS-провайдеров.

Уже два года сотрудники компаний, обеспечивающих работу глобальной сетевой инфраструктуры (провайдеры DNS, магистральные провайдеры и другие организации), наблюдают, как неизвестные злоумышленники проверяют Интернет на прочность с помощью мощных и продолжительных DDoS-атак.

Ботнеты растут, так что рано или поздно проверки на прочность закончатся и начнется полномасштабная атака. Представьте себе несколько десятков взломов вроде того, что приключился с Dyn, но произошедших одновременно, — и вы примерно поймете, чего ждать. Такими темпами можно просто остаться без Интернета.

Как не стать частью ботнета?

Каждый отдельный человек вряд ли может сделать что-то с проблемами такого глобального масштаба. Но здесь важна коллективная ответственность — если все люди будут заботиться о безопасности своих устройств, ботнеты вроде Mirai если и останутся, то как минимум станут значительно меньше.

Если вы хотите уменьшить вероятность того, что ваш принтер, роутер или термостат однажды будет использоваться для того, чтобы оставить весь мир без соцсетей, платежных сервисов и онлайн-кинотеатров, то нужно сделать несколько простых вещей.

    1. Поменять пароли по умолчанию на всех своих устройствах. Используйте сложные пароли, которые не получится быстро взломать простым перебором.
    2. Обновить прошивку во всех старых гаджетах, если обновления доступны.
    3. Тщательнее выбирать «умные» устройства. Точно ли им всем так необходимо быть подключенными к Интернету? Может, вместо Wi-Fi-холодильника можно выбрать обычный? Также советуем почитать об устройстве, прежде чем покупать его: если окажется, что в нем используется вшитый производителем пароль, который невозможно поменять, то от покупки такого устройства стоит отказаться.