Открыть сервис

Атака на Dyn

Атака на Dyn — это серия распределённых атак типа «отказ в обслуживании» (DDoS), осуществлённых 21 октября 2016 года на инфраструктуру компании Dyn, предоставлявшей услуги DNS (система доменных имён). Атака привела к масштабным сбоям в работе множества крупных интернет-сервисов на восточном побережье США и в Европе, включая Twitter, Spotify, Reddit, Netflix, Amazon, PayPal и другие. Инцидент стал одним из крупнейших в истории по масштабу последствий и продемонстрировал уязвимость глобальной инфраструктуры интернета.

Предпосылки

К октябрю 2016 года DDoS-атаки стали распространённым явлением, однако их мощность и сложность росли. Злоумышленники всё чаще использовали ботнеты — сети из заражённых устройств, управляемых удалённо. Традиционные методы защиты, такие как фильтрация трафика на основе IP-адресов, становились менее эффективными против атак, генерирующих десятки и сотни гигабит трафика в секунду.

Компания Dyn (основана в 1998 году, штаб-квартира в Манчестере, штат Нью-Гэмпшир, США) являлась одним из ведущих провайдеров DNS-услуг. Её клиентами были тысячи веб-сайтов и онлайн-сервисов, включая многие крупные платформы. Услуги Dyn включали управление трафиком, мониторинг производительности и, что наиболее важно, разрешение DNS-запросов — преобразование доменных имён (например, example.com) в IP-адреса, необходимые для установления соединения. Сбой в работе DNS-инфраструктуры Dyn приводил к тому, что пользователи не могли получить доступ к сайтам и сервисам, даже если сами серверы этих сервисов работали исправно.

Хронология атаки

Атака на Dyn происходила в три волны, каждая из которых была направлена на разные серверы компании.

Первая волна (11:10 UTC — около 13:00 UTC)

Первая волна атаки началась около 11:10 UTC (7:10 утра по восточному времени). Злоумышленники начали генерировать огромный объём DNS-запросов к серверам Dyn, расположенным в основном на восточном побережье США. Атака была нацелена на серверы, обслуживающие доменные зоны клиентов Dyn. В результате легитимные запросы пользователей не могли быть обработаны, что привело к недоступности многих популярных сайтов. Dyn зафиксировала аномальный трафик и начала применять меры по смягчению последствий, включая фильтрацию и перенаправление трафика. К 13:00 UTC ситуация была частично стабилизирована.

Вторая волна (15:50 UTC — около 18:00 UTC)

Вторая волна атаки началась около 15:50 UTC. Она была более мощной и сложной. Злоумышленники изменили тактику, атакуя не только DNS-серверы Dyn, но и её инфраструктуру управления и мониторинга. Это затруднило компании возможность реагировать на атаку. Трафик, генерируемый ботнетом, достигал нескольких сотен гигабит в секунду. Вторая волна затронула серверы Dyn по всему миру, включая те, что находились в Европе. Сбои возобновились и усилились, затронув ещё большее количество сервисов. Dyn привлекла сторонних провайдеров для помощи в отражении атаки.

Третья волна (20:30 UTC — около 22:00 UTC)

Третья, финальная волна атаки началась около 20:30 UTC. Она была направлена на другие компоненты инфраструктуры Dyn и продолжалась несколько часов. К этому моменту Dyn уже задействовала все доступные ресурсы для защиты, включая дополнительные мощности от партнёров. Атака была в конечном итоге отражена, и к полуночи 22 октября 2016 года услуги Dyn были полностью восстановлены.

Механизм атаки

Атака на Dyn была осуществлена с помощью ботнета Mirai. Mirai — это вредоносное программное обеспечение, которое заражает устройства интернета вещей (IoT), такие как IP-камеры, домашние маршрутизаторы, цифровые видеорегистраторы (DVR) и другие устройства, работающие под управлением Linux. Mirai сканирует интернет в поисках устройств с заводскими или стандартными логинами и паролями, после чего заражает их и включает в ботнет.

Характеристики ботнета Mirai

  • Состав: Ботнет, использованный в атаке на Dyn, по оценкам экспертов, состоял из десятков тысяч, а возможно, и сотен тысяч заражённых устройств IoT.
  • Тип атаки: Основным типом атаки был DNS-амплификация (усиление) и DNS-флуд. Злоумышленники отправляли на серверы Dyn огромное количество запросов на разрешение имён от имени подставных (спуфированных) IP-адресов. Это приводило к тому, что серверы Dyn тратили ресурсы на обработку этих поддельных запросов, не в состоянии обслуживать легитимные.
  • Мощность: Трафик, генерируемый ботнетом, достигал, по разным оценкам, от 1,2 до 1,5 Тбит/с (терабит в секунду) на пике. Это была одна из самых мощных DDoS-атак на тот момент.

Уязвимости устройств IoT

Успех атаки был обусловлен массовым распространением незащищённых устройств IoT. Многие производители поставляли устройства с фиксированными или легко угадываемыми учётными данными (например, admin/admin). Пользователи часто не меняли эти настройки, что делало устройства лёгкой добычей для Mirai. Кроме того, многие устройства IoT имели уязвимости в программном обеспечении, которые не исправлялись производителями.

Последствия

Масштаб сбоев

Атака на Dyn вызвала массовые и продолжительные сбои в работе интернета. По оценкам, из-за атаки временно были недоступны десятки тысяч веб-сайтов и онлайн-сервисов. Среди наиболее пострадавших:

  • Twitter: Пользователи не могли загружать ленту новостей, отправлять твиты или просматривать профили.
  • Spotify: Сервис потоковой музыки был недоступен для многих пользователей в США и Европе.
  • Reddit: Один из крупнейших форумов в мире был полностью недоступен в течение нескольких часов.
  • Netflix: Сервис потокового видео испытывал серьёзные проблемы с доступом.
  • Amazon: Интернет-магазин и облачные сервисы AWS (Amazon Web Services) были затронуты, что привело к сбоям у их клиентов.
  • PayPal: Платёжная система была недоступна для многих пользователей.
  • The New York Times, The Guardian, CNN: Крупные новостные сайты также испытывали проблемы с доступом.

Экономические последствия

Прямые экономические потери от атаки оценивались в десятки миллионов долларов. Однако косвенные потери, связанные с простоем бизнеса, потерей доходов от рекламы и ущербом для репутации, были значительно выше. По оценкам аналитиков, общий ущерб для экономики США мог составить сотни миллионов долларов.

Реакция сообщества и изменения в безопасности

Атака на Dyn стала поворотным моментом в осознании угроз, связанных с устройствами IoT. Она привела к:

  • Усилению внимания к безопасности IoT: Производители, правительства и отраслевые организации начали активнее обсуждать необходимость внедрения стандартов безопасности для устройств IoT. В США и Европе были предложены законодательные инициативы, направленные на повышение безопасности таких устройств.
  • Развитию методов защиты от DDoS: Компании, предоставляющие услуги по защите от DDoS-атак, начали разрабатывать более эффективные методы фильтрации трафика, способные обнаруживать и блокировать атаки, генерируемые ботнетами IoT.
  • Повышению осведомлённости пользователей: Инцидент привлёк внимание широкой общественности к проблеме безопасности «умных» устройств. Пользователи стали более осознанно подходить к выбору и настройке таких устройств.

Расследование и ответственность

Расследование атаки на Dyn было проведено ФБР и другими правоохранительными органами. В ходе расследования были выявлены авторы вредоносного ПО Mirai и организаторы атаки.

Авторы Mirai

В сентябре 2016 года, за месяц до атаки на Dyn, исходный код Mirai был опубликован в интернете. Авторами вредоносного ПО были признаны три человека: Парас Джа (Paras Jha), Джозия Уайт (Josiah White) и Далтон Норман (Dalton Norman). Они создали Mirai для проведения DDoS-атак на серверы Minecraft с целью получения преимущества в игре. После того как их деятельность была раскрыта, они опубликовали код, чтобы запутать следы. В декабре 2017 года они признали себя виновными в создании и распространении вредоносного ПО, а также в проведении DDoS-атак. Парас Джа был приговорён к 5 годам лишения свободы условно и штрафу в размере 127 000 долларов.

Организаторы атаки на Dyn

Несмотря на то, что авторы Mirai были установлены, точные организаторы атаки на Dyn остаются не до конца известными. Следствие установило, что атака была проведена с использованием ботнета, собранного из устройств, заражённых Mirai. Однако, кто именно отдал команду на атаку, официально не было объявлено. Существуют версии, что атака могла быть совершена хактивистами, конкурентами или даже государственными структурами, но убедительных доказательств ни одной из этих версий не было представлено.

Значение атаки

Атака на Dyn стала важным уроком для всей интернет-индустрии. Она продемонстрировала:

  • Критическую уязвимость DNS-инфраструктуры: Атака показала, что централизованные точки отказа, такие как DNS-провайдеры, могут стать целью, способной парализовать работу значительной части интернета.
  • Опасность ботнетов из устройств IoT: Атака подтвердила, что миллионы незащищённых устройств IoT могут быть использованы для создания мощных ботнетов, способных генерировать трафик, превышающий возможности многих защитных систем.
  • Необходимость децентрализации и резервирования: Инцидент подчеркнул важность использования нескольких DNS-провайдеров и географически распределённых серверов для обеспечения отказоустойчивости.
  • Рост киберугроз для критической инфраструктуры: Атака на Dyn, хотя и не была направлена на государственные объекты, показала, что киберпреступники могут атаковать критически важные элементы интернет-инфраструктуры, вызывая масштабные последствия.

Источники

  • Отчёт Dyn об атаке (Dyn Analysis of the October 21, 2016 DDoS Attack)
  • Публикации Krebs on Security (Brian Krebs)
  • Материалы расследования ФБР по делу Mirai
  • Статьи The New York Times, The Guardian, Wired за октябрь 2016 года
  • Технический анализ атаки от компаний Flashpoint и Akamai

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →