美国互联网瘫痪

这周末大家都在热议的事情就是，美国大半个互联网都瘫痪了，包括Twitter、GitHub、PayPal、Tumblr、Pinterest、索尼PS网络、华尔街日报等等网站都无法登录，美国人民很受伤。原因是一家DNS服务提供商Dyn遭遇了黑客的大规模DDoS攻击，导致大量网站的DNS查询得不到响应。

目前能够基本肯定的情报是，黑客利用Mirai恶意程序感染的IoT僵尸网络发起了本次攻击，或者说Mirai僵尸网络至少是发起本次攻击的一部分。这点儿情报实在是很不完整，至少我们得清楚，究竟是谁发起的攻击，为何针对Dyn发起攻击，这是美国两大情报机构FBI和DHS目前都在着力调查的事。

攻击前后持续了3波

我们在周六的快讯文章中大致谈到了这次攻击至少发生了2波，而CNBC的记者那个时候接到消息说，还有第三波攻击。从目前掌握的情报来看，黑客的确针对Dyn掀起了3波攻势，这也让本次攻击波及的范围不止于北美。

首波攻击大约发生在美国东部时间上周五的7:10 am（北京时间周五晚间8:10），这波攻击影响到了美国东海岸的网络访问——这是绝大部分媒体当时掌握到的情报。而大约在中午时分（北京时间大约周六凌晨），黑客又发起了第二波攻击，将DNS查询失败的范围影响到了西海岸——据说远在澳大利亚的用户也因此受到了持续5个小时的影响。

当时彭博社发表文章称：“在攻击高峰时段，Dynatrace监测到的2000个网站DNS连接时间大约需要16秒，原本500毫秒是正常的。”

实际上在下午5点左右（北京时间周六早晨6点），针对Dyn的第三波攻势再度发动。Dyn表示，本次攻击是“周密安排并执行的，攻击来自同一时间数千万IP”。路透社报道称，亚马逊的web服务部门反映，“攻击甚至临时影响到了西欧用户，周五晚间伦敦部分用户无法访问Twitter和部分新闻网站。PayPal公司也表示此次网络中断对部分地区的用户支付造成影响”。

Dyn首席安全官Kyle York表示，这波攻击“非常聪明”，“我们开始做缓解工作，他们就立刻响应——而且始终如此”。“数千万信息都来自联网，且看似无害的设备，可能是DVR，或者CCTV摄像头，甚至恒温器。”

CNBC方面的消息称，美国国土安全部和未具名的情报机构似乎都不愿意透露，是谁发起了本次攻击。白宫新闻秘书Josh Earnest只是透露，国土安全部“正在监视当前状况”，“但此刻有关谁发起了本次恶意行动的问题，我这里没有任何信息。”

是谁发起了攻击？

官方不发声没关系，民间的声音还是有很多。WikiLeaks维基解密周六发布了一条推文，如下图所示。意思即是说：阿桑奇还活着，而且WikiLeaks当前也并没有停止运作，所以“我们请求支持者不要再攻击美国互联网”。

这显然就是在说，发起本次大规模DDoS攻击的正是其支持者。至于支持什么，FreeBuf周末曾发布一篇《维基解密创始人被“死亡”》的文章。其中就有提到，Twitter和Reddit先前发布维基解密创始人Julian Assange死亡的消息。不过维基解密很快澄清Assange还活着，只不过其互联网访问被“某政党”掐断。

厄瓜多尔政府方面确认，的确是切断了Assange的互联网访问（厄瓜多尔去年为Julian Assange提供政治庇护），“因为维基解密对美国总统大选造成了影响”。维基解密则发布消息说，厄瓜多尔是接到了美国国务卿John Kerry的命令才这么做的。于是这就成为了本次攻击的动因。

不过SecurityAffairs周六发布消息称，NewWorldHackers黑客组织已经确认，是他们针对Dyn的DNS服务发起的大规模攻击，而且其实参与者不光只有他们。NewWorldHackers表示，还有不少与Anonymous黑客组织相关的其他组织也共同参与了这次攻击。

“Anonymous，Pretty much of Anonymous!”

NewWorldHackers表示，他们主要是想确认其僵尸网络的实际表现，并且也明确提到这次的DDoS攻击主要是由Mirai僵尸网络发起的，当然另外还有其它力量。另外，NewWorldHackers说其实也不光是因为Assange事件，他们也是期望借由本次攻击给俄罗斯政府传递一个信号。

“如果俄罗斯要针对美国，那么我们就会针对俄罗斯。这是我们划出的一条线，我们就是要向俄罗斯发出警告。”

NewWorldHackers另外也已经向美国政治媒体《政客（Politico）》发出了声明，基本也是表达了上面的意思。不过话说，为了给予克里姆林宫警告，而不惜将本国互联网拉下马，这逻辑实在是…

两名自称是该组织旗下成员的Twitter用户对美联社说：“我们这么做并不是为了吸引联邦机构的注意，而只是测试（僵尸网络的）性能。”他们还说，Twitter之上的@NewWorldHacking帐号是由30个人在管理的，其中20个人在俄罗斯，还有10个人在中国（！！！）。

虽然这个说法尚无法确认真伪，但先前这家组织的确也有针对类似攻击事件公开表示负责的先例，比如说9月份针对ESPNFantasySports.com的攻击，和去年年底针对BBC的攻击。

全面扩散中的Mirai僵尸网络

只不过以上这些信息毕竟是国外媒体的传言，无法确认其可靠性，Dyn也表示尚不明确究竟是谁发起的攻击。但有一点几乎是可以肯定的，这次攻击和Mirai僵尸网络有莫大关联：Dyn公司就确认一大波被劫持的IoT物联网设备参与了此次大规模DDoS攻击。

安全情报公司Flashpoint就本次事件发布了一份报告，其中也提到其安全专家对Mirai僵尸网络进行了观察，并且确认Mirai的确参与到了Dyn攻击事件之中。

“Flashpoint确认，针对Dyn DNS服务发起本次DDoS攻击的基础设施，正是被Mirai恶意程序感染的僵尸网络。先前Mirai僵尸网络曾用于对安全研究人员Brian Krebs的博客，以及法国互联网服务与主机提供商OVH发起DDoS攻击。”…“不过针对Dyn的攻击，与先前针对Krebs on Security和OVH的攻击又是存在明显区别的。”

我们的“安全快讯”栏目就多次对Brian Krebs博客被攻击事件进行过追踪报道，并且也多次提到，Mirai恶意程序主要就是以类似路由器、DVR、安全摄像头之类设备为目标的恶意程序。

Mirai当前的感染范围

不过你可能不知道的是，Mirai的源码本月早前已经公布在了网上（署名Anna-senpai的用户将之发布在黑客论坛Hackforum之上）。Level 3威胁研究实验室表示，在Mirai源码公布之前，他们观察到了大约21.3万被感染的设备，峰值数量是28万。不过在源码公布之后，这个数字很快就窜升到近50万。绝大部分被感染的IoT设备位于美国，巴西和哥伦比亚也有不少。源码公布大概成为Mirai广泛传播的一个重要原因。

有兴趣的各位可以点击这里，查看目前Mirai僵尸网络的分布情况。这个tracker提到，目前超过120万IP受到Mirai感染，而且是“至少”120万。

还有一件有趣的事情，Flashpoint研究负责人Allison Nixon表示：本次攻击“基于那些被黑的IoT设备，主要包括”“中国的雄迈科技制造的”“DVR和IP摄像头”。

跟中国企业有关！

雄迈科技是国内一家电子设备生产商——这家公司周日表示他们生产的设备“无意间”参与了本次攻击。产品中的默认密码成为安全缺口，造成了雄迈科技的DVR和IP摄像头被Mirai感染。

雄迈在致IDG News Service的邮件中提到：“Mirai对物联网而言是个大灾难。我们必须承认，我们的产品也遭遇了黑客入侵和非法利用。”由于这些设备的默认弱口令，Mirai得以进行感染传播。安全研究人员很早就发现，Mirai会尝试超过60组用户名、密码组合入侵设备。

雄迈科技表示已经于去年9月份对漏洞进行修复，要求用户在首次使用设备的时候修改默认密码——不过那些运行旧版固件的产品依旧存在漏洞，所以升级固件和修改默认用户名密码还是必须的。

未来随着物联网设备的进一步普及，接入互联网的设备会越来越多。这次DDoS攻击对物联网设备的利用此后必然还会加剧，这就要求生产此类设备的厂商真正将安全提上日程。而本次Dyn攻击事件也还在持续发酵中，FreeBuf会做进一步的追踪报道。

* FreeBuf官方报道，作者：欧阳洋葱，转载请注明来自FreeBuf.COM