About / Advertise
Liberia på Afrikas västkust utsattes under förra veckan för stora attacker av ett av de bottnät som drivs av programmet Mirai. Landet verkar dock att ha gått helskinnat ur attacken.
Ett sabotageprogram kallat Mirai används just nu för att infektera oskyddade IoT-system – som nätkameror och DVR-spelare – och koppla samman dem till så kallade bottnät som fjärrstyrs till att utföra överbelastningsattacker mot servrar på Internet.
Ett av dessa bottnät användes under förra veckan till att överbelasta servrar i Liberia. Tidvis uppgick överbelastningsvolymen till en halv Gbit/s.
Mirai blev allmänt känt den 21 oktober när ett Miraistyrt bottnät slog ut minst 68 stora amerikanska webbsajter, bland dem Paypal, Twitter och Netflix. Attacken kallas ”Dyn-attacken” efter den DNS-operatör vars servrar överbelastades för att slå ut sajterna.
Säkerhetsexperten Kevin Beaumont låter sig just nu frivilligt infekteras av Mirai-bottnät för att kunna logga vilka attackorder som sprids till dem. Du kan följa Miraibottnätens attacker på twitterkontot MiraiAttacks som twittrar attackmål och attackorder allteftersom de ufärdas.
I skrivande stund har MiraiAttacks identifierat 59 stycken Mirai-styrda bottnät. Av dessa var det Miraibottnät nummer 14 som då och då under förra veckan i korta attacker överbelastade servrar tillhörande ett telekomföretag i Liberia.
Miraibottnät nummer 14 var enligt Kevin Beaumont det största Miraibottnätet just då. Tidvis skickade det en halv terabit/s till Liberia.
Liberia är ett till synes enkelt mål eftersom all Internetttrafik dit går via en enda fiberkabel med en total kapacitet på bara 5,1 terabit/s. Den delas mellan alla länder på Afrikas västra kust.
Kevin Beaumont rapporterade att liberianska webbplatser blivit oåtkomliga från hans monitorer under attackerna. Det påståendet ledde till ett missförstånd – att hela Liberias nätttrafik slogs ut av attackerna.
Men det verkar vara en överdrift. Ingen har redovisat indikationer på detta, och varken operatören av Liberias knutpunkt eller Akamai, som vakar över Internettrafiken, har sett tecken på det i sin statistik.
Enligt Kevin Beaumont antyder den stora attackvolymen och det faktum att bottnät 14 var äldre än Dyn-attacken, att det styrdes av samma person som attackerade Dyn.
Den som styrde Miraibottnät 14 signalerade att den var medveten om att attackerna loggades av Kevin Beaumont genom att attackera hans webbadress malwaretech.com. Dessutom har bottnät 14 ”attackerat” fejkade domännamn som ett finurligt sätt att skicka meddelanden. Bland dessa meddelanden finns ”shadows.kill” och därför kallas bottnät 14 också för Shadows kill.
Mirai blev lite kraftfullare under förra veckan. Nya system blev sårbara för Mirai genom att nya kombinationer av användarnamn och standardlösenord adderades till den lista som Mirai provar. Det betyder att fler IoT-system har blivit kandidater till att rekryteras av Mirai, och det tycks också mycket riktigt ha skett en tillväxt av Mirai-bottar.
