El 21 de octubre, la compañía DYN de gestión de rendimiento de Internet con sede en New Hampshire sufrió el ataque DDoS más grande registrado hasta el momento.
Los ataques fueron tres, en una sucesión relativamente rápida, siendo el último mitigado fácilmente. Se orientaron a la infraestructura DNS gestionado de la compañía. Esto causó la inaccesibilidad temporal de muchos sitios web y servicios en línea como Twitter, Spotify, Netflix, Amazon, GitHub, PayPal, Etsy, entre otros.
Lo que dice Dyn acerca de los ataques
«La naturaleza y el origen del ataque está bajo investigación, pero fue un sofisticado ataque a través de múltiples vectores de ataque y lugares de Internet. Podemos afirmar, con la ayuda de análisis de Flashpoint y Akamai, que una fuente del tráfico de los ataques eran dispositivos infectados por el botnet Mirai. Hemos observado 10s millones de direcciones IP discretas asociadas a la red de bots Mirai que formaban parte del ataque».
La Fatal Mirai
De acuerdo a Flashpoint, las redes de bots Mirai que se utilizaron en el ataque contra el Dyn «fueron botnets separadas y distintas» de las que se utilizaron para ejecutar los ataques DDoS contra el blog de Brian Krebs, y el servicio francés de internet OVH.
«A principios de este mes, ‘Anna_Senpai,» el hacker que opera la gran botnet Mirai utilizado en el Krebs DDoS, liberó el código fuente de Mirai en línea. Desde esta versión, otros cibercriminales han utilizado el malware para crear sus propias redes de bots con el fin de lanzar ataques DDoS».
Mirai aumenta fácilmente infectando dispositivos en su mayoría routers, DVR o cámaras WebIP, servidores Linux y dispositivos IoT funcionando con Busybox. Si sus propietarios no toman medidas para protegerlos, van a terminar infectados nuevamente en cuestión de minutos.
Desafortunadamente, algunos de estos dispositivos no pueden ser protegidos como deberían por causa de contraseñas codificadas, y el hecho de que sus fabricantes no hicieron posible su actualización.
Por el momento, la solución a este problema en particular todavía no está claro, aunque algunas propuestas en boca, incluyen la opción de «hackear e vuelta» para ganar el control de los dispositivos comprometidos. A medida que el número de dispositivos del IoT comprometidos se eleva, esta opción es seriamente considerada.
¿Quién está detrás de los ataques?
Actualmente es imposible saber a ciencia cierta, y podríamos terminar sin nunca saberlo.
WikiLeaks insinuó que sus seguidores están detrás del ataque, como una represalia por la perdida de acceso a Internet de Julian Assange por las manos del gobierno de Ecuador. Assange ha estado refugiado desde hace años en la embajada del país en Londres. WikiLeaks ha publicado mensajes de correo electrónico robados al jefe de campaña de Hillary Clinton, John Podesta, y Ecuador cortó el acceso a Internet de Assange para que WikiLeaks no pudiera interferir en las elecciones de los Estados Unidos.
Un grupo de hackers, llamado New World Hackers, también afirmó que están detrás de los ataques. Ellos dijeron a la AP(Associated Press) que los ataques eran sólo una prueba de poder, y una manera de exponer las vulnerabilidades de seguridad.
Algunos creen que los rusos están detrás de todo esto, y un Vigilante estadounidense llamado «The Jester» ha tomado represalias atacando el sitio web del Ministerio de Asuntos Exteriores de Rusia.
El experto en seguridad Bruce Schneier todavía cree que el culpable más probable es la «alguien» que ha estado montando ataques de sondeo en contra de la infraestructura de Internet.
¿Ahora que?
Estos ataques han demostrado lo frágil que el Internet es y el peligro de botnets basadas en el IoT.
Hasta que se encuentre una solución definitiva, los propietarios del sitio deben definir planes de respaldo para mantener sus sitios en línea y accesibles, los proveedores de nube deben trabajar en formas de desviar grandes ataques DDoS, los fabricantes empezar a preocuparse acerca de cómo implementar la seguridad, y finalmente los usuarios deben preocuparse por la seguridad de los dispositivos que utilizan conectados a Internet.
Mientras tanto, se puede comprobar si existen dispositivos en su red doméstica que son potencialmente accesibles por los ciber criminales. Joshua Kopstein ofreció consejos útiles sobre qué hacer si encuentran alguna, pero también señaló que lo único que puede asegurar que sus dispositivos IoT no sean parte de un botnet, es mantenerlos fuera de línea.
Fuente: https://www.helpnetsecurity.com/2016/10/24/dyn-ddos-attack-aftermath/