შეტევა DynDNS-ზე – გართობა თუ …?

იერიშის სამი ტალღა

2016 წლის შემოდგომა კიბერუსაფრთხოების ისტორიაში უდიდესი DDoS შეტევებით შევა. წინა შეტევებზე ჩვენ უკვე ვწერდით (სტატია). ამჯერად „დიდი DDoS-ების შემოდგომას“ კიდევ ერთი არნახული ზომის შეტევა შეუერთდა. 21 ოქტომბერს DNS პროვაიდერ კორპორაცია Dyn-ის წინააღმდეგ წარმოუდგენლად დიდი ზომის DDoS შეტევა განხორციელდა, მოცულობით – 1.2 ტერაბიტი წამში. შედეგად მიუწვდომელი გახდა ისეთი ფართოდ ცნობილი საიტები, როგორიცაა: Twitter, Reddit, Spotify, Etsy, Box, Wix, Squarespace, Shopify, SoundCloud, Github, Airbnb, Reddit, Freshbooks, Heroku და სხვა მრავალი.

dyndns

შეტევა გრინვიჩის დროით 11:10 წუთზე დაიწყო. ის 3 ნაწილად იყო დაყოფილი. ჰაკერებმა თავდაპირველად ამერიკის აღმოსავლეთ ნაწილში განთავსებულ სერვერებზე მიიტანეს იერიში, რომლის მოგერიებასაც კომპანიის ინჟინრები 2 საათი ცდილობდნენ. შუადღისთვის შეტევის მეორე ტალღა წამოვიდა, ჰაკერებმა დასავლეთ ნაწილში განთავსებულ სერვერებსაც დაარტყეს.  ბოლოს კი ოფშორულ ზონებში არსებულ სერვერებს. ეს ყველაფერი ისე, რომ აღმოსავლეთში განლაგებულ სერვერებზე შეტევა არ შეწყვეტილა. იერიში საღამოს 9:37 წუთზე დასრულდა, თუმცა ზოგიერთი საიტის ამუშავებას კიდევ რამდენიმე საათი დასჭირდა.

მოწყობილობათა რაოდენობასა და სახეობაზე, სხვადასხვა წყარო სხვადასხვა ინფორმაციას იძლევა. მათი ურთიერთშეპირისპირების შედეგად შეგვიძლია დავასკვნათ, რომ Mirai-ს ბოტნეტთან ერთად, რომლის ზომაც 100,000-ზე მეტ ბოტს მოიცავდა, გამოყენებული იყო დიდი რაოდენობით “ჩვეულებრივი” ბოტნეტები და შეტევა განხორციელდა მსოფლიოს სხვადასხვა კუთხეში მყოფი არაერთი ჰაკერის ერთობლივი მუშაობის შედეგად. სხვანაირად ძნელია აიხსნას ის ფაქტი, რომ შეტევის დროს დაფიქსირდა ათობით მილიონი IP მისამართი.

თავად კომპანიის წარმომადგენლების განცხადებით, ეს იყო კარგად ორგანიზებული, კომპლექსური შეტევა.

დახიე რუკა

DNS დომენური სახელების დამისამართების სისტემაა. ის პასუხისმგებელია ვებ მისამართებისა და IP მისამართების ერთმანეთთან დაკავშირებასა და შესაბამისი სერვერების მოძიებაზე. DNS ჩვეულებრივ მომხმარებელს საშუალებას აძლევს დომენური სახელის (მაგალითად, facebook.com) აკრეფის შემდეგ მოხვდეს შესაბამის საიტზე. DDoS შეტევა DNS სერვერს ავსებს ე.წ. lookup მოთხოვნებით, შედეგად სერვერი ვერცერთ მოთხოვნას ვერ ამუშავებს ბოლომდე და  მიუწვდომელი ხდება ყველასთვის.

სწორედ ამიტომაა DNS-ზე შეტევა მაღალი ეფექტურობის მქონე. ჩვეულებრივ საიტზე შეტევისგან განსხვავებით, ჰაკერი უტევს DNS სერვერს და ჩვეულებრივი მომხმარებლისთვის მიუწვდომელს ხდის ყველა საიტს, რომელიც მოთხოვნებს ამ DNS სერვერზე აგზავნის. ამ შეტევის ეფექტურობას ისიც ზრდის, რომ სერვერმა ავტომატურად უნდა მოახდინოს განმეორებადი მოთხოვნების დამუშავება – მაშასადამე, ჩვეულებრივი მომხმარებლები, რომლებიც Refresh ღილაკს აჭერენ ავტომატურად მონაწილეობენ სერვერის კიდევ უფრო მეტად დატვირთვაში.

miraiIntel Security-ის CTO-მ სტივ გრობმანმა DNS-ზე შეტევა, რუკის დახევას შეადარა. „არავითარი მნიშვნელობა არა აქვს მაღაზია გახსნილია და მუშაობს თუ არა იმ შემთხვევაში, თუ კი ამ მაღაზიამდე მისასვლელი გზა არ იცი“. საქმე იმაშია, რომ ზოგიერთი საიტი ჩვეულებრივ მუშაობდა, მაგრამ მასზე წვდომა დამისამართების სისტემის გაუმართაობის გამო შეუძლებელი იყო ჩვეულებრივი მომხმარებლისთვის, მაშინ როდესაც ტერმინალიდან დაკავშირება შესაძლებელი იყო. მაგალითად, ერთ-ერთი ასეთი საიტი იყო npmjs.com

სანამ მოტივებზე გადავიდოდეთ, შევნიშნავთ, რომ ეს შეტევა ირონიას მოკლებული არ არის: ზუსტად 1 დღით ადრე 20 ოქტომბერს, DynDNS კომპანიის მთავარმა ანალიტიკოსმა გამოაქვეყნა სტატია (http://hub.dyn.com/traffic-management/recent-iot-based-attacks-what-is-the-impact-on-managed-dns-operators) – რა ეფექტი შეიძლება ჰქონდეს IoT მოწყობილობებით DDoS შეტევას DNS პროვაიდერზე? ეფექტი კი უკვე მეორე დღეს ვნახეთ. უცნაური და საინტერესო დამთხვევაა.

მოტივი – გართობა თუ …?

ჩვეულებრივი DDoS-ის მოტივები შეიძლება მრავალი იყოს. მათ შორის: გართობა, შურისძიება, კონკურენტების ჩაძირვა, პოლიტიკა, ტერორი, ომი, პროტესტი და რა თქმა უნდა ფინანსური შემოსავლები.

ddosზოგჯერ, DDoS-ით შემოსავლის მიღება შესაძლებელია ისე, რომ რეალურად არანაირი შეტევა არ განახორციელო. ასე მაგალითად, როდესაც რომელიმე ჰაკერული დაჯგუფება მოიპოვებს სახელს და ნათელია, რომ ძლიერი DDoS შეტევის განხორციელება შეუძლია, მათ უბრალოდ შეუძლიათ დააშანტაჟონ კომპანიები და ფული გამოსძალონ იმის სანაცვლოდ, რომ მათზე არ განხორციელდეს DDoS შეტევა. ეს ერთგვარი მაფიოზური სქემაა – ფულს იხდი იმაში, რომ „დაგიცვან“ მათივე შეტევისგან.

უფრო სახიფათო ინდუსტრიული საბოტაჟია – ერთი კომპანია ქირაობს ჰაკერებს კონკურენტი კომპანიის ჩასაძირად. ეს განსაკუთრებით ეფექტურია გაყიდვების, საბანკო და აზარტული თამაშების სფეროში, სადაც კომპანია ფინანსურად ყველაზე მეტად ზარალობს DDoS-ით.

არსებობს აზრი, რომ ჰაკერებმა „დაცვის“ მოტივით გარკვეული თანხის გადახდა მოითხოვეს და უარის შემდეგ განახორციელეს შეტევა. მაგრამ კორპორაცია Dyn-ის შემთხვევაში, ნაკლებად სავარაუდოა ამ აზრის რეალურობა.

ზოგიერთი დაინტერესებული მხარე ეჭვებს გამოთქვამს ამ შეტევის რუსული და ჩინური წარმომავლობის შესახებ. ეს თავისთავად, გამორიცხული არ არის, თუმცა რა სარგებელი უნდა მიეღო ან ერთი ან მეორე ქვეყნის მთავრობას ძნელი სათქმელია.

არსებობს ასეთი ვარაუდიც, რომ შეტევა განახორციელა ამერიკის სადაზვერვო სამსახურების ჰაკერთა ჯგუფმა, რომ შემდეგ ეს შეტევა გადაებრალებინა რუსეთისა და ჩინეთისთვის. ესეც ნაკლებად სავარაუდოა. მაგრამ ზოგიერთი ექსპერტი ფიქრობს, რომ სირიაში მიმდინარე მოვლენების გათვალისწინებით ამ ვარაუდის ხელაღებით უარყოფაც არ შეიძლება.

ყველაზე უფრო რეალური სცენარით, Dyn-ის წინააღმდეგ განხორციელებული შეტევა დაკავშირებულია მანამდე განხორციელებულ მსხვილ DDoS შეტევებთან. საქმე იმაშია, რომ Dyn-ის სპეციალისტები ეხმარებოდნენ ბრაიან კრებსს crebsonsecurity-ზე განხორციელებული შეტევის მოთავეთა იდენტიფიცირებაში, რომელსაც FBI-ს მიერ ისრაელში ბაზირებული ორი ჰაკერის დაპატიმრება მოჰყვა, რომლებმაც $600,000 დოლარზე მეტი გააკეთეს DDoS შეტევებით. ამის გამო ჰაკერთა გარკვეული ნაწილი გაბრაზდა ცნობილ DNS პროვაიდერზე და სერიოზული ზიანიც მიაყენა, პარალელურად კი საკუთარი შესაძლებლობები შეამოწმა.

ოფიციალურად, DynDNS-ს თითქმის ერთ დღიან გადოსვაზე პასუხისმგებლობა ჰაკერთა ჯგუფმა, სახელად New World Hackers-მა აიღო. განცხადება ტვიტერის მეშვეობით გაავრცელა ჯგუფის ორმა წევრმა, რომლებიც “Prophet” და “Zain“ -ის სახელით არიან ცნობილი. ამ განცხადებას თუ ვერწმუნებით, შეტევაში მონაწილეობას ჯგუფის 10 წევრი იღებდა და მხოლოდ საკუთარი შესაძლებლობების გატესტვა უნდოდათ. შესაძლებლობების გატესტვა მთელი დღის განმავლობაში ცოტა უცნაურად ჟღერს, ამიტომ ექსპერტების უმრავლესობა მათ მატყუარებად მიიჩნევს. ცნობისთვის, ეს ის დაჯგუფებაა, რომელმაც თავის დროზე პასუხისმგებლობა აიღო ESPN-სა და BBC-ის წინაარმდეგ განხორციელებული DDoS შეტევებზე.

ჯერ კიდევ სექტემბერში ბრაიან კრებსი წერდა, რომ ვიღაც ტესტავს კრიტიკული ინტერნეტ სერვისების პროვაიდერთა თავდაცვის შესაძლებლობებს და აი, ორი კვირის შემდეგაც კი 1.2 ტერაბიტიანი DDoS შეტევის მოთავეთა ვინაობა ბურუსითაა მოცული, იმ შეტევისა, რომელმაც თითქმის მთელი დღით მწყობრიდან გამოიყვანან DynDNS.

ხოლო ის ფაქტი, რომ მსგავსი შეტევების წარმოება ქსელებსა და ჰაკინგში მეტნაკლებად გარკვეულ ნებისმიერ პირს შეუძლია უკვე არსებული ხელსაწყოებისა და დაუცველი IoT ოწყობილობების გამოყენებით, უფრო მეტად დამაფიქრებელია, ვიდრე თავად ეს გრანდიოზული შეტევა.