根据Flashpoint的研究,上周导致互联网地址查找服务Dyn中断的大规模DDoS攻击,可能是一个脚本儿童针对PlayStation网络,并使用Mirai恶意软件组装了一个大规模的物联网僵尸网络。
据Flashpoint估计,最近Mirai的攻击很有可能与英语黑客论坛社区有关,特别是使用和阅读论坛“hackforums.net”艾莉森·尼克松的博客他是Flashpoint公司安全研究主管。
她说,公司已经发现在Dyn攻击中使用的基础设施还针对“一家知名的电子游戏公司”,但她没有透露这家公司的名字。在hackforums.net上的一篇文章似乎同意这种可能性。这表明目标是PlayStation Network,而Dyn受到攻击是因为它为PSN提供DNS服务。跟踪为PSN提供查找的名称服务器(NS)将阻止流量到达PSN。
hackerforum.com帖子写道:“这是有趣的,只是因为他们没有实际上attk达因有趣的事实达因从来没有故意attkd直到当天晚些时候,PSN目标(bf1版本)他们使用直流发电机的ns: ns00.playstation.net, ns01.playstation.net, ns02.playstation.net等等。”这是有人与屏幕上的名字qbotwithasupermicroontop代传。
尼克松写道,一个自称是散布Mirai幕后黑手的演员——网名安纳-森派——也参与了这些黑客论坛。她写道:“经常光顾这个论坛的黑客以前就知道会发起这类攻击,不过规模要小得多。”
她说,这些因素结合起来,使她认为Dyn的攻击可能是黑客论坛上的某个人所为。“这些黑客有他们自己的层次,有时被称为‘脚本小子’,他们与激进分子、有组织犯罪、国家行为体和恐怖组织是分开的。”
她说,政治人物、犯罪分子和恐怖分子不适合这个条件,因为他们通常有容易发现的政治、经济或战略目标,“而且他们不太可能对电子游戏公司发动攻击。”
没有针对Dyn敲诈勒索的公开迹象,这可能是罪犯。由于Dyn的客户范围很广,取消它的服务“不会对任何一个政治实体造成不成比例的影响”,所以她排除了政治行为者。
Nick Kephart,千安网的网络中断分析师,说尼克松的分析听起来是合理的,尽管在Dyn解雇大量的DDoS流量只影响一个客户是过分的。他说,针对特定客户的小规模攻击会更有效,而且可能更容易成为目标。另外,Dyn是世界上最适合防御DDoS攻击的互联网组织之一,他说。
同时,Martin McKeay, Akamai的安全布道者,说他认为这次袭击可能是针对一个Dyn的客户,而关闭Dyn是掩盖真实目标的一种方式。
他说,摧毁Dyn客户的公共网络服务器也可能是一种分散注意力的行为——例如,让受害者花太多时间处理丢失的网络商务,而没有注意到另一种更有针对性的攻击。“如果我是DNS受此影响的次要受害者?”我会仔细查看我的日志,”寻找其他攻击的迹象,他说,。
他还表示,参与攻击的物联网设备的数量被严重高估了。Dyn说有数千万。McKeay说,他认为这可能是成千上万的欺骗超过一个IP地址,使它更难以阻止所有传入的DNS查询。“我很难相信会有数千万,”他表示。
早先的估计是Mirai僵尸网络中的设备数量安全网站上的克雷布斯被毁了在40万的南部,但这个数量级比Dyn声称的数千万要小。他表示:“我无法想象在三周内就从38万增长到数千万。”
这一评估得到了其他专家的支持。Kephart说,因为许多物联网(IoT)设备——安全摄像头、dvr、路由器——使用动态IP地址,记录攻击Dyn的IP地址的数量将大于设备的实际数量。