Mirai, part 3

Mirai heeft het cyberklimaat drastisch veranderd. Waar in het verleden bij een DDoS-aanval de meter niet verder uitsloeg dan 363 Gbps, is nu een aanval boven de 1 Tbps geen uitzondering meer. Een toename van zo’n 60%. Mirai heeft binnen een zeer kort tijdsbestek alle records op het gebied van DDoS gebroken.

Aanvallen die toegeschreven worden aan Mirai:

  • Op 19 september 2016 werd de Franse Internetprovider OVH meerdere malen door een DDoS-aanval onbereikbaar gemaakt. De omvang liep uiteen van 901 Gbps tot 1156 Gbps.
  • Op 20 september 2016 was de website van Brain Krebs, KrebsOnSecurity.com gedurende een dag niet meer bereikbaar, oorzaak was een DDoS-aanval. Omdat de website gebruik maakte van anti-DDoS-dienst van Akamai, weten we dat de aanval een omvang had van 620 Gbps, bijna een verdubbeling van de tot dan grootste door Akamai geregistreerde DDoS-aanval (363 Gbps). Brian Krebs gaat er van uit dat hier gebruik is gemaakt van een DDoS-as-a-Service.
  • 1 oktober 2016 werd de source code ‘Mirai’ verantwoordelijk voor de aanval, gepubliceerd op Github. Inmiddels zijn daar meerdere kopieën (forks) te vinden.
  • 21 oktober 2016 werd de Amerikaanse DNS provider DYN slachtoffer van een 1,2 Tbps DDoS-aanval. DYN biedt DNS-functionaliteit voor talrijke, veelal grotere en bekende websites, zoals Twitter, Amazon, Tumblr, Reddit, Spotify, Netflix, Github, The Guardian, CNN en AirBnB. Deze websites waren door de aanval niet meer vindbaar op het Internet waardoor de helft van het Internet onbereikbaar was.
  • Van eind oktober tot 3 november 2016 richtte een DDoS-aanval zich op een verwarmingscentrale van Valtia waardoor twee woonblokken in Lappeenranta Finland in de kou kwamen te zitten.
  • 6 november 2016 werd Donald Trump’s campagne-site aangevallen maar bleef uiteindelijk wel in de lucht. Duidelijk een actie van een tegenstander die gebruik maakte van een DDoS-as-a-Service dienst.
  • 7 november 2016 werd Hillary Clinton’s campagne-site aangevallen, ook deze bleef bereikbaar. Mogelijk wederom een tegenstander die zijn onvrede uitte door gebruik te maken van een DDoS-as-a-Service dienst.
  • 7 november 2016 werd WikiLeaks het slachtoffer. De site was 24 uur lang niet meer bereikbaar.
  • 8 tot 10 november 2016 werden 5 grote Russische banken aangevallen, waaronder Sberbank, Alfa-bank, the Moscow Exchange, the Bank of Moscow en Rosbank. De banken verklaarden dat haar klanten hiervan geen last hebben ondervonden. De DDoS-as-a-Service provider ‘vimproducts’ eiste de verantwoordelijkheid op.
  • 13 november 2016 werden twee de twee bedrijven die verantwoordelijk zijn voor de totale Internet infrastructuur van Liberia met een DDoS van 600 Gbps aangevallen. Gevolg hiervan was dat Liberia gedurende de aanval volledig afgesloten was van het Internet.
  • 12 december 2016, meer dan 900.000 klanten van ISP Deutsche Telecom konden niet meer het Internet benaderen omdat Mirai hun router onbruikbaar had gemaakt.
Mirai Botnet activity map

Mirai botnet activity map by https://intel.malwaretech.com/

Persoonlijk zie ik deze hele ontwikkeling als een voorbode voor wat er komen gaat. Mirai is enkel de opmaat. State-sponsorred criminelen hebben het ontwikkeld en al enkele keren gebruikt, immers de aanval op Deutsche Telecom wordt betrokkenheid van Rusland verweten. Door het publiekelijk beschikbaar te stellen, maken ze gebruik van de community om het verder te ontwikkelen en hun eigen optreden te vertroebelen immers een botnet verstop je het best in een woud van botnets. Het uiteindelijke doel zal zijn het lam leggen van vitale infrastructuren. Maar dit is enkel speculatie.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security ● Technical Infrastructure
Dit bericht werd geplaatst in Security en getagged met , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s