Fredagen den 21:a oktober kommer gå till historien som en av de första och största cyberattackerna någonsin. Attacken rapporterades om i de flesta stora tidningar som New York Times, Aftonbladet och det var två stora DDoS attacker som tog ner Internets infrastruktur och påverkade ett antal stora webbplatser och tjänster.
Vid överbelastningsattac har man riktat sig mot domänföretaget Dyn, som har infrastrukturen till tjänsterna. Dynamic Network Services Inc. även känd som Dyn var målet för tre storskaliga Distributed Denial of Service (DDoS) attacker mot sin infrastruktursystem med domännamn. Ett infrastruktur företag som Dyn är mycket känsligt eftersom de har domän hantering för ett stort antal servrar. Dyn har kommenterat att de började se DDos attackerna kl. 19.00 på fredagen.
Cyberattacken påverkade flera de flesta större sajterna i USA som Amazon, AirBNB, Twitter, Spotify, New York Times. Även Playstation Network, Paypal, Netflix, eBay, Reddit och Soundcloud. Ser man på kartan från Downdetector ser man att Sverige ser ut att ha blivit förskonat den här gången men flera kritiska sajter med stort symbolvärde i Sverige har blivit attackerade. SF har rapporterat att deras biljetttjänst legat nere och SVT rapporterade att Regeringen och Krisinformation.se plockats ner av attacken.
Några veckor efter den stora cyberattacken tog de ner ett helt land – Liberia med en Ddos attack med Mirai botnet.
Mirai malware – IoT botnet
Senare under dagen kommenterade Dave Allen, chefsjurist på Dyn att tiotals miljoner Internetadresser (ip-adresser) använts för att skicka Internettrafik mot företagets servrar. Han bekräftade att en stor del av denna trafik kom från internetanslutna enheter som hade en skadlig malware-kod som kallas Mirai som är ett malware som spridits kraftigt under oktober. Enligt Dyn var det 10 miljoner IP-adresser som var del i det botnet som användes i attacken.
Mirai sprids till oskyddade devices som webbkameror, digitala videokameror, övervakningskameror, babyövervakningsverktyg, Wifi-routrar, smartTV, telefoner och gör dessa till bots. Boten kammar igenom Internet och plockar in devices med svag säkerhet. I detta fall kommer flera av de hackade produkterna från kinesiska XiongMai Technologies.
I vissa fall har Mirai skapat en telnet session till en sajt genom ett gammalt MUD-spel. Säkerhetsexperten Brian Krebs har varnat att programvaran kan spridas inom IoT (internet of things). Källkoden har sprids på nätet med pseudonymen Anna Senpai: Ladda ner orginal IoT Botnet Mirai.
Den öppna Mirai källkoden kommer att resultera i mer frekventa DDoS attacker.
Nästan samtidigt höll DYN föredrag om DDosS attacker
Attacken på DYN kom bara några timmar efter DYN forskaren Doug Madory presenterade ett föredrag om DDoS attacker i Dallas vid ett möte med den nordamerikanska Network Operators Group (NANOG) (se videon).
I Youtube videon pratar men bland annat om det israelitiska företaget vDOS som tog betalt för att utföra DDoS-attacker på företag. Lite ironiskt så blev företaget hackat och dess kundlista med 10 000 tals kunder läckte ut.
Verisign har sett en 75-procentig ökning av DDoS-attacker från april till juni i år, jämfört med samma period föregående år.
I ett populärt blogginlägg tidigare i år från säkerhetsgurun Bruce Schneider med titeln ”Someone is Learning how to Take Down the Internet” varnade Schneider för cyberattacker mot infrastruktur från stater och spekulerade kring att Kina och Ryssland kan vara involverade.
De har kapacitet att störa ut större sajter och vid Ddos-attacker handlar det ofta i slutändan vem som har störst bandbredd. Med tanke på de senaste politiska utspelen från vicepresident Joe Bidden att USA skulle slå tillbaka mot ryssarna är det lätt att misstänka ryssarna. Från ett politiskt perspektiv finns det anledning för demokraterna att skylla på ryssarna som har motiv även om det skulle vara någon annan aktör.
