מתקפת ההאקרים שהשביתה אתמול והיום (שבת) כמחצית מרשת האינטרנט העולמית וגרמה לעומסים גדולים בחלקים שהמשיכו לפעול, נעזרה בסוג חדש של מתקפה: גיוס מיליוני מכשירים רובוטיים, כמו מצלמות אבטחה ומערכות הקלטה המקושרים לרשת באמצעות IoT (האינטרנט של החפצים).
צילום: רויטרס
כל המכשירים הללו תוזמנו לבצע ניסיונות כניסה בו זמנית לשרתי חברת התשתית האינטרנטית הגדולה Dyn, שבה מיתרגמים שמות האתרים שמוקלדים בזמן חיפוש לכתובת IP של האתר על שרת האיחסון.
לפי גורו האבטחה קרבס, המיתקפה החלה ביצירת בעיות לגולשים שניסו להגיע לטוויטר, אמזון, טמבלר, רדיט, ספוטיפיי ונטפליקס. בשלב הראשון לא היה ידוע מי עומד מאחורי המתקפה, אבל לאחר כמה שעות הצליחה חברת הסייבר אמריקנית Flashpoint לזהות את הנוזקה Mirai, תוכנה עם קוד פתוח, שכל אחד יכול ליצור באמצעותה מיתקפה של מניעת שירות מבוזרת, המעמיסה על השרתים כמות גדולה של נסיונות כניסה, עד שהאתר אינו עומד בעומס וקורס.
מיראי מנצלת את העובדה שרוב ההתקנים האוטומטיים של IoT מגיעים עם קוד אבטחה מהמפעל, ובדרך כלל לא משנים אותם. הסיסמאות הקבועות קלות לכן לפיצוח וההאקרים ניצלו את המידע הזה כדי לגייס את ההתקנים הרובוטיים עם מודם תקשורת מתוצרת XiongMai הסינית לפנות באותו זמן אל השרתים ולהפיל אותם. המודמים הללו נמצאים במוצרים של מאות יצרני אלקטרוניקה, ולכן אפשר היה לבצע מתקפה מתוזמנת של מיליוני פניות בו-זמנית. אלינסון ניקסון מאגף המחקר של פלאשפוינט מסר, כי ייתכן שלמתקפה צורפו התקני תקשורת של יצרני מודמים נוספים.
אתמול נמנעה גישה לעשרות אתרים מובילים, ובהם טוויטר, ספוטיפיי וגם CNN, פייפאל, ואתרי הלקוחות של Wix הישראלית, בגלל מתקפת סייבר מאורגנת על ספק כתובות אינטרנט DNS מוביל בשם Dyn.
האתרים היו לא נגישים, או שהגישה אליהם הייתה איטית ביותר, לאחר תקיפה בשלושה גלים לפחות. המתקפה הגיעה בתזמון מדויק מכ-10 מיליון כתובת אינטרנט בו זמנית. העומס הפתאומי היה מעל לקיבולת, גם לאחר שבוצע עידכון קיבולת בסיוע שרתי אמזון בעקבות המתקפה הראשונה והשנייה. ההשפעה הגדולה ביותר הייתה בחוף המערבי של ארה"ב ובמערב אירופה. שרת האינטרנט של Dyn שהיה במוקד ההתקפה לא הצליח לעמוד בעומס המתקפה, הפשוטה לכאורה, וגם אחרי המתקפה השלישית לא הייתה גישה לאתרים.
בעקבות המתקפה החל המשרד האמריקני לביטחון פנים בשיתוף ה-FBI בחקירה למצוא את מקור המתקפה.
