全美互聯網癱瘓,一家中國企業在搞事情?
這周末大家都在熱議的事情就是,美國大半個互聯網都癱瘓了,包括Twitter、GitHub、PayPal、Tumblr、Pinterest、索尼PS網路、華爾街日報等等網站都無法登錄,美國人民很受傷。原因是一家DNS服務提供商Dyn遭遇了黑客的大規模DDoS攻擊,導致大量網站的DNS查詢得不到響應。
目前能夠基本肯定的情報是,黑客利用Mirai惡意程序感染的IoT殭屍網路發起了本次攻擊,或者說Mirai殭屍網路至少是發起本次攻擊的一部分。
這點兒情報實在是很不完整,至少我們得清楚,究竟是誰發起的攻擊,為何針對Dyn發起攻擊,這是美國兩大情報機構FBI和DHS目前都在著力調查的事。
攻擊前後持續了3波
我們在周六的快訊文章中大致談到了這次攻擊至少發生了2波,而CNBC的記者那個時候接到消息說,還有第三波攻擊。從目前掌握的情報來看,黑客的確針對Dyn掀起了3波攻勢,這也讓本次攻擊波及的範圍不止於北美。
首波攻擊大約發生在美國東部時間上周五的7:10 am(北京時間周五晚間8:10),這波攻擊影響到了美國東海岸的網路訪問——這是絕大部分媒體當時掌握到的情報。
而大約在中午時分(北京時間大約周六凌晨),黑客又發起了第二波攻擊,將DNS查詢失敗的範圍影響到了西海岸——據說遠在澳大利亞的用戶也因此受到了持續5個小時的影響。
當時彭博社發表文章稱:「在攻擊高峰時段,Dynatrace監測到的2000個網站DNS連接時間大約需要16秒,原本500毫秒是正常的。」
實際上在下午5點左右(北京時間周六早晨6點),針對Dyn的第三波攻勢再度發動。Dyn表示,本次攻擊是「周密安排並執行的,攻擊來自同一時間數千萬IP」。
路透社報道稱,亞馬遜的web服務部門反映,「攻擊甚至臨時影響到了西歐用戶,周五晚間倫敦部分用戶無法訪問Twitter和部分新聞網站。PayPal公司也表示此次網路中斷對部分地區的用戶支付造成影響」。
Dyn首席安全官Kyle York表示,這波攻擊「非常聰明」,「我們開始做緩解工作,他們就立刻響應——而且始終如此」。「數千萬信息都來自聯網,且看似無害的設備,可能是DVR,或者CCTV攝像頭,甚至恆溫器。」
CNBC方面的消息稱,美國國土安全部和未具名的情報機構似乎都不願意透露,是誰發起了本次攻擊。白宮新聞秘書Josh Earnest只是透露,國土安全部「正在監視當前狀況」,「但此刻有關誰發起了本次惡意行動的問題,我這裡沒有任何信息。」
是誰發起了攻擊?
官方不發聲沒關係,民間的聲音還是有很多。WikiLeaks維基解密周六發布了一條推文,如下圖所示。意思即是說:阿桑奇還活著,而且WikiLeaks當前也並沒有停止運作,所以「
我們請求支持者不要再攻擊美國互聯網
」。
這顯然就是在說,發起本次大規模DDoS攻擊的正是其支持者。至於支持什麼,FreeBuf周末曾發布一篇《維基解密創始人被「死亡」》的文章。
其中就有提到,Twitter和Reddit先前發布維基解密創始人Julian Assange死亡的消息。不過維基解密很快澄清Assange還活著,只不過其互聯網訪問被「某政黨」掐斷。
厄瓜多政府方面確認,的確是切斷了Assange的互聯網訪問(厄瓜多去年為Julian Assange提供政治庇護),「因為維基解密對美國總統大選造成了影響」。
維基解密則發布消息說,厄瓜多是接到了美國國務卿John Kerry的命令才這麼做的。這於是成為本次攻擊的動因。
不過SecurityAffairs周六發布消息稱,
NewWorldHackers黑客組織已經確認,是他們針對Dyn的DNS服務發起的大規模攻擊,而且其實參與者不光只有他們。
NewWorldHacking表示,還有不少與Anonymous黑客組織相關的其他組織也共同參與了這次攻擊。
「Anonymous,Pretty much of Anonymous!」
NewWorldHackers表示,他們主要是想確認其殭屍網路的實際表現,並且也明確提到這次的DDoS攻擊主要是由Mirai殭屍網路發起的,當然另外還有其它力量。
另外,NewWorldHackers說其實也不光是因為Assange事件,他們也是期望藉由本次攻擊給俄羅斯政府傳遞一個信號。
「如果俄羅斯要針對美國,那麼我們就會針對俄羅斯。這是我們划出的一條線,我們就是要向俄羅斯發出警告。」
NewWorldHackers另外也已經向美國政治媒體《政客(Politico)》發出了聲明,基本也是表達了上面的意思。不過話說,為了給予克里姆林宮警告,而不惜將本國互聯網拉下馬,這邏輯實在是…
兩名自稱是該組織旗下成員的Twitter用戶對美聯社說:「我們這麼做並不是為了吸引聯邦機構的注意,而只是測試(殭屍網路的)性能。」
他們還說,Twitter之上的@NewWorldHacking帳號是由30個人在管理的,
其中20個人在俄羅斯,還有10個人在中國(!!!)
。雖然這個說法尚無法確認真偽,但先前這家組織的確也有針對類似攻擊事件公開表示負責的先例,比如說9月份針對ESPNFantasySports.com的攻擊,和去年年底針對BBC的攻擊。
全面擴散中的Mirai殭屍網路
只不過以上這些信息畢竟是國外媒體的傳言,無法確認其可靠性,Dyn也表示尚不明確究竟是誰發起的攻擊。但有一點幾乎是可以肯定的,這次攻擊和Mirai殭屍網路有莫大關聯:Dyn公司就確認一大波被劫持的IoT物聯網設備參與了此次大規模DDoS攻擊。
安全情報公司Flashpoint就本次事件發布了一份報告,其中也提到其安全專家對Mirai殭屍網路進行了觀察,並且確認Mirai的確參與到了Dyn攻擊事件之中。
「Flashpoint確認,針對Dyn DNS服務發起本次DDoS攻擊的基礎設施,正是被Mirai惡意程序感染的殭屍網路。先前Mirai殭屍網路曾用於對安全研究人員Brian Krebs的博客,以及法國互聯網服務與主機提供商OVH發起DDoS攻擊。」…「不過針對Dyn的攻擊,與先前針對Krebs on Security和OVH的攻擊又是存在明顯區別的。」
我們的「安全快訊」欄目就多次對Brian Krebs博客被攻擊事件進行過追蹤報道,並且也多次提到,Mirai惡意程序主要就是以類似路由器、DVR、安全攝像頭之類設備為目標的惡意程序。
Mirai當前的感染範圍
不過你可能不知道的是,Mirai的源碼本月早前已經公布在了網上(署名Anna-senpai的用戶將之發布在黑客論壇Hackforum之上)。Level 3威脅研究實驗室表示,在Mirai源碼公布之前,他們觀察到了大約21.3萬被感染的設備,峰值數量是28萬。
不過在源碼公布之後,這個數字很快就竄升到近50萬。絕大部分被感染的IoT設備位於美國,巴西和哥倫比亞也有不少。源碼公布大概成為Mirai廣泛傳播的一個重要原因。
有興趣的各位可以點擊這裡,查看目前Mirai殭屍網路的分布情況。這個tracker提到,目前超過120萬IP受到Mirai感染,而且是「至少」120萬。
還有一件有趣的事情,Flashpoint研究負責人Allison Nixon表示:本次攻擊「基於那些被黑的IoT設備,
主要包括」「中國的雄邁科技製造的」「DVR和IP攝像頭」
。
跟中國企業有關!
雄邁科技是國內一家電子設備生產商——這家公司周日表示他們生產的設備「無意間」參與了本次攻擊。產品中的默認密碼成為安全缺口,造成了雄邁科技的DVR和IP攝像頭被Mirai感染。
雄邁在致IDG News Service的郵件中提到:「Mirai對物聯網而言是個大災難。我們必須承認,我們的產品也遭遇了黑客入侵和非法利用。」
由於這些設備的默認弱口令,Mirai得以進行感染傳播。安全研究人員很早就發現,Mirai會嘗試超過60組用戶名、密碼組合入侵設備。
雄邁科技表示已經於去年9月份對漏洞進行修復,要求用戶在首次使用設備的時候修改默認密碼——不過那些運行舊版固件的產品依舊存在漏洞,所以升級固件和修改默認用戶名密碼還是必須的。
未來隨著物聯網設備的進一步普及,接入互聯網的設備會越來越多。這次DDoS攻擊對物聯網設備的利用此後必然還會加劇,這就要求生產此類設備的廠商真正將安全提上日程。而本次Dyn攻擊事件也還在持續發酵中,FreeBuf會做進一步的追蹤報道。
* FreeBuf官方報道,作者:歐陽洋蔥,未經許可禁止轉載
TAG: |
※中美貿易:中國是真正的「贏家」
※為何中國不相信美國的承諾?這件事情上美讓中國吃大虧機密全泄露
※俄專家一語振奮全體國人:中國造巨艦數量全世界第一 美俄都不行
※中國一技術首次出口美國為何美專家瞬間黑臉?竟擔心中國讓美斷電
※中韓明星美貌大PK,是中國出美女還是韓國產美人?
※對中國最友善的一美國人,沒有他,中美溝通只能靠吼
※中國歷史上唯一為了愛情而出家的皇帝
※美國中產不開心:全球化傷了我們 富了中國人
※美專家稱用核彈頭一小時抹平中國:中俄聯手出狠招讓其美夢化泡影
※俄專家:中美電磁炮實戰能力為零 中國小學生都知道他錯在哪裡
※美媒:美企業家從中國廢品收購站中尋商機
※日媒:中國已把美國逼入窘境 中美不會全面開戰
※中國山寨偷竊美國軍事技術?這是誇中國是一等國家嗎?
※『『中美博弈』』中國崛起,美帝暫時潛伏!
※中國在非洲還有一個鮮為人知的朋友:武器全套中國造
※美國人熱衷賭博,中國人喜歡購物?中美出遊方式大不同!
※中國網友偷拍隱形戰機,美國網友偷拍美軍外星科技
※駐美官員:中國不願見中美爆發衝突 這將是噩夢
※英國經濟學家:中國企業為什麼不賺錢?
※全世界公認:中國的"知青「,是全世界最強的一代人!