13 napos támadással lépett színre a Mirai botnet

Biztonsági kutatók elkészültek annak a támadásnak az elemzésével, amely 13 napon keresztül tartott sakkban egy online szolgáltatást.
 

Az elosztott szolgáltatásmegtagadási támadások esetében számos tényezőt kell értékelni ahhoz, hogy az incidensek hatása megbecsülhető legyen. Egyrészt fel kell tárni, hogy a támadás milyen hálózati rétegben, adott esetben milyen alkalmazás ellen irányul. Másrészt fel kell mérni a támadás által lefoglalt sávszélesség, illetve erőforrás nagyságát, majd elemezni kell a támadás időtartamát. Ezt tették az Imperva szakemberei is, akik egy április-május között bekövetkező kiberbiztonsági incidenst vizsgáltak.
 
A biztonsági kutatók azt nem árulták el, hogy mely online szolgáltatás ellen következett be a támadás, de azt jelezték, hogy 13 napon keresztül nagy intenzitással zajlott. Az elkövetők a szóban forgó szolgáltatás egyik authentikációs összetevőjét állították célkeresztbe, nem kevesebb mint 402 ezer különböző IP-címről. Ebből nyilván az is következik, hogy az incidens mögött egy botnet állít. Most már azt is tudjuk, hogy ez egy Mirai leszármazott volt, és a legtöbb hozzá kapcsolódó fertőzött eszköz Brazíliában működött. A Miraihoz hűen ezúttal is elsősorban interneteléréssel rendelkező készülékek (IoT-berendezések) jutottak főszerephez.
 
Sok még a nyitott kérdés
 
A több hetes vizsgálódás után a kutatók még mindig nem tudják egyértelműen meghatározni, hogy a támadóknak mi volt a valódi céljuk. Mivel hitelesítési megoldásokat támadtak, ezért elképzelhető, hogy brute force módszerekkel igyekeztek minél több fiókhoz hozzáférést szerezni. Ugyanakkor az sem zárható ki, hogy az elosztott szolgáltatásmegtagadás (DDos) volt középpontban, vagyis az adott szolgáltatás megbénítását próbálták elérni. Ez végül sikerült is számukra annak ellenére, hogy nem „ajtóstul rontottak a házba”.
 
Az Imperva szerint a botnetből másodpercenként 292 ezer kérés (RPS) indult alkalmazási rétegben (Layer 7-es támadás). A szakemberek korábban ekkora intenzitású DDoS-szal még nem találkoztak, legalábbis ami alkalmazási rétegen keresztül valósult volna meg. Azt megbecsülni sem lehet, hogy mekkora lehetett a botnet valódi teljesítménye, ugyanis azt a támadók "visszafogták". Egy-egy IP-címről korlátozott számú kérést indítottak egy időben, majd kis idő múlva ismét próbálkoztak. Ezzel igyekeztek megnehezíteni a védelmi megoldások dolgát, amelyek nehezen tudták szétválasztani a legitim és az ártalmas adatforgalmat.
 
A fentiek alapján kijelenthető, hogy a 2016 óta ismert Mirai továbbra is kísért. A megjelenése óta már számos variánsa vált elérhetővé, és úgy tűnik, hogy a kiberbűnözők nem is akarnak megválni tőle. Ezért az IoT eszközök megfelelő védelme, erős jelszavakkal történő ellátása és rendszeres frissítése nagyon fontos szempont a védekezés során.
Vélemények
 
  1. 3

    A Trend Micro biztonsági frissítést adott ki a Deep Security Manager, valamint a Vulnerability Protection megoldásaihoz.

  2. 3

    A McAfee Web Gateway egy fontos biztonsági frissítést kapott.

  3. 1

    A Priwidd trójai egy hátsó kaput létesít a fertőzött számítógépeken, és egy webszerverről fogadja a támadók utasításait.

 
Partnerhírek
Gartner: az ESET az egyetlen kihívó a végpontvédelemben

A Gartner kutatói immár két egymást követő évben is az ESET vállalatát nevezték meg az egyetlen kihívó (Challenger) cégként (a Magic Quadrant for Endpoint Platforms című) éves jelentésükben.

Postai csomagok segítségével támadhatnak a hackerek

Az IBM szakértői egy olyan olcsó és kis méretű eszközt állítottak össze, amely a vállalat vagy házunk környékén kémkedhet adatokra.

hirdetés
Közösség
1