Эксперты компании Imperva сообщили о новом варианте вредоносного ПО Mirai, использовавшемся для осуществления 54-часовой DDoS-атаки.
Жертвой атаки стал один из колледжей США, являющийся клиентом Imperva. Как сообщают исследователи, атака началась 28 февраля 2017 года и длилась более двух суток. Средняя мощность составила свыше 30 тыс. запросов в секунду и в пиковые моменты достигала 37 тыс. запросов в секунду.
В общей сложности за время атаки было отправлено более 2,8 млн запросов. Атака осуществлялась с помощью ботнета преимущественно из зараженных Mirai камер видеонаблюдения, видеорегистраторов и маршрутизаторов. По мнению экспертов, открытые порты telnet (23) и TR-069 (7547) на устройствах могут указывать на эксплуатацию злоумышленниками известных уязвимостей.
Используемые в ходе атаки боты скрывались за тридцатью различными клиентскими приложениями (user agent), а не только за пятью, вшитыми в код оригинальной версии Mirai. Данный факт, а также мощность атаки, натолкнули исследователей на мысль о появлении нового варианта Mirai, модифицированного для более эффективных атак на уровне приложений.
Атака осуществлялась с 9793 IP-адресов по всему миру. Наибольшее число ботов пришлось на США (18,4%), Израиль (11,3%), Тайвань (10,8%), Турцию (8,7%) и Россию (3,8%).
Вредоносное ПО Mirai привлекло к себе внимание ИБ-экспертов осенью прошлого года после крупнейшей за всю историю интернета DDoS-атаки на сайт журналиста Брайана Кребса. В октябре некто под псевдонимом Anna-Senpai опубликовал исходный код вредоноса в открытом доступе. С тех пор, несмотря на усилия телекоммуникационных компаний, Mirai непрерывно модифицируется для заражения новых моделей устройств.
