Мы уже рассказывали, как армия видеокамер внешнего наблюдения, принтеров и кофеварок провела самую мощную в истории интернета DDoS-атаку на блог Брайана Креббса. На прошлой неделе зараженные устройства «интернета вещей» — все те же принтеры, камеры, тостеры и роутеры — сломали уже не один сайт, а довольно значительную часть интернета.
Армия камер наблюдения и принтеров чуть не сломала интернет
Приблизительно так выглядела DDoS-атака на Dyn, парализовавшая работу множества популярных ресурсов

Мощная атака на DNS-провайдера Dyn парализовала работу интернет-сервисов на востоке США на целый день. Чтобы заставить устройства атаковать нужную цель, хакеры заразили их зловредом Mirai. Пять дней назад исходные файлы вредоносного кода попали в сеть и стали доступны специалистам, но это уже никого не спасло: за несколько дней зловред удвоил количество зараженных устройств, и их число достигло 550 тысяч.

Mirai устроен так, что постоянно ищет открытые устройства «Интернета вещей», которые можно легко взломать. Как правило, взлом становится возможен из-за того, что устройства защищены дефолтным паролем производителя, одинаковым для всех подобных машин. Объединив зараженные устройства в ботнет, способный действовать по команде с одного компьютера, Mirai начинает функционировать как услуга «DDoS в аренду»: кто угодно может оплатить некоторое время пользования и организовать атаку на любую цель. На этот раз целью стал DNS-сервер оператора Dyn.

DNS-серверы хранят информацию о точных (IP) адресах в интернете. Без этой информации невозможна адресация исходящих пакетов, а значит, клиент не может послать сигнал на нужный адрес и получить ответ. Кажется, что сайт, который клиент ищет в сети, недоступен, но на самом деле сеть просто не знает его адрес.

В день атаки Mirai на Dyn пользователи с восточного побережья США не могли попасть на такие популярные ресурсы как Twitter, GitHub, Spotify, Reddit и SoundCloud. Тогда же газета New York Times сообщила, что ФБР и министерство внутренней безопасности занимаются расследованием атак.