Блогер Брайан Кребс заявил, что распределенная атака, нацеленная на отказ в обслуживании, которая обрушилась на его сайт пару недель назадд, скорее всего стала последствием разоблачения им двух израильтян, сделавших заказные DDoS-атаки своим бизнесом.
Восемнадцатилетние Итай Хури и Ярден Бидани были арестованы в Израиле по запросу ФБР через шесть дней после того, как Кребс опубликовал информацию о них в своем блоге.
По мнению Кребса, запись в блоге, сделанная 16 сентября, побудила их сообщников организовать атаку на его сайт с использованием ботнета, охватывающего сотни тысяч, а может, и миллионы взломанных устройств Интернета вещей – главным образом, камер, маршрутизаторов и средств организации цифровой видеозаписи.
В сетевых пакетах, обрушившихся на сайт, содержалась текстовая строка «freeapplej4ck», и она, судя по всему, указывает на одного из двух арестованных израильтян, взявшего себе псевдоним Applej4ck.
Хури и Бидани управляли сервисом vDOS, который предлагал подписку на использование платформы для DDoS-атак стоимостью от 20 до 200 долл. в месяц.
Если подозрения Кребса верны, это означает, что злоумышленники с относительно скромными средствами сумели создать гигантский ботнет из устройств Интернета вещей, генерирующий невероятные объемы трафика DDoS.
Аналогичная атака мощностью 1,5 Тбит/с с использованием армии ботов была совершена на французского поставщика хостинговых услуг OVH. «Ботнет, состоящий из 145 607 камер и устройств цифровой видеозаписи (каждое из которых генерировало трафик объемом от 1 до 30 Мбит/с), совершил DDoS-атаку общей мощностью более 1,5 Тбит/с», – сообщил в своем твите основатель OVH Октав Клаба.
Причем атаки эти, скорее всего, продолжаются. «За последние 48 часов к ботнету присоединились еще 6857 новых камер», – заявил Клаба.
В начале сентября известный эксперт по безопасности Брюс Шнайер предупреждал в своем блоге, что неизвестные группы, судя по всему, систематически проверяют, насколько устойчива к DDoS-атакам ключевая инфраструктура Интернета. Соответствующая информация поступала от компаний, предоставляющих инфраструктуру, но имена их он назвать не может, поскольку общение велось на условиях анонимности.
Похоже, инициаторы атак достигают определенных объемов трафика, после чего все прекращается. Спустя какое-то время атаки возобновляются с той же интенсивностью и постепенно нарастают, что свидетельствует о попытках количественно оценить мощность, которая необходима для блокирования работы каждой из целевых сетей.
Типы атак варьируются, с тем чтобы можно было понять, какие инструменты используют жертвы и насколько они эффективны.
Кто стоит за атаками, неизвестно, но, по мнению Шнайера, это не активисты, не исследователи и даже не криминалитет, а какое-то крупное государство.
«Государственные военные киберкоманды оттачивают свое оружие на случай кибервойны, – пояснил Шнайер. – Все это напоминает программу полетов на большой высоте над территорией Советского Союза, которую практиковали США в годы холодной войны, проверяя возможности и реакцию советских систем противовоздушной обороны».