#Ciberseguridad – #DynDNS revela detalles del complejo y sofisticado ataque de la #botnet de IoT

El proveedor de servicios de sistema de nombres de dominio (DNS) Dyn ha revelado detalles del ataque de denegación de servicio distribuido (DDoS) en su red el pasado viernes 21 octubre, que dejó inutilizables una serie de servicios web.

El ataque de dos fases comenzó aproximadamente a las 11:10 hora del Reino Unido, y se prolongó hasta alrededor de las 17:00. Afectó servicios derivados incluyendo Airbnb, Amazon Web Services, Boston.com, Box, FreshBooks, GitHub, GoodData, Heroku, Netflix, The New York Times, PayPal, Reddit, Shopify, Spotify, Twitter, Vox y Zendesk.

Como se informó anteriormente, el ataque fue perpetrado por una maliciosa red de bots de internet de las cosas (IoT) que utiliza el código de malware Mirai, la cual fue liberada en un foro subterráneo a comienzos de octubre de 2016, provocando inmediatamente temores de más ataques generalizados utilizando dispositivos IoT inseguros.

Dyn dijo que el ataque a su red fue muy complejo y sofisticado, usando el protocolo de control de transmisión (TCP) enmascarado y orientado maliciosamente, y tráfico del protocolo de datagramas de usuario (UDP) a través del puerto 53. También generó tráfico recursivo de reintento DNS, es decir, su impacto fue aún más pronunciado.

En una declaración en el sitio web de la compañía, el vicepresidente ejecutivo de productos de Dyn, Scott Hilton, dijo que al principio los equipos de la empresa se dieron cuenta de un elevado ancho de banda en contra de su plataforma en Asia y el Pacífico, América del Sur, Europa del Este y el Este de los EE.UU. que se presentó de una manera asociada con un ataque DDoS.

Habiendo iniciado sus protocolos de respuesta, Dyn encontró que la vía de ataque cambió de repente, afinándose en sus puntos de presencia (PoP) en el Este de los EE.UU.

En respuesta a esto, sus equipos desplegaron tecnología de asignación de tráfico y reequilibrio, aplicaron filtros internos y desplegaron servicios de limpieza para mitigar el ataque. Esto fue, por lo general, exitoso, finalizando la fase inicial a las 13:20.

El segundo ataque comenzó alrededor de las 15:50, y era más diverso a nivel mundial, aunque conforme se desplegaron los mismos protocolos era más fácil de tratar, y este ataque se había calmado antes de las 17:00. Una serie de pequeños ataques de sondeo TCP tuvieron lugar desde entonces, sin embargo Dyn dijo que fue capaz de prevenir cualquier impacto posterior sobre los usuarios.

Hilton dijo que Dyn vio entre 10 y 20 veces el volumen de tráfico normal durante el ataque, incluyendo el tráfico legítimo del reintento de los servidores que intentaban actualizar sus cachés, a partir de millones de direcciones IP en todo el mundo, con ráfagas de flujo de paquetes de 40 a 50 veces mayores de lo normal.

“Parece que los ataques maliciosos se enviaron desde al menos una red de bots, con la tormenta de reintentos proporcionando un falso indicador de un conjunto mucho mayor de puntos finales que los que ahora sabemos que fueron. Todavía estamos trabajando en el análisis de los datos, pero la estimación al momento de este informe es de hasta 100.000 puntos finales maliciosos”, dijo.

“Ha habido algunos informes de una magnitud en el rango 1.2Tbps; en este momento no podemos verificar esta afirmación”, añadió Hilton.

La firma se sigue analizando el ataque, dada su complejidad y gravedad inusual, y está extendiendo y ampliando sus medidas preventivas para usarlas a futuro.

“Este ataque ha abierto una conversación importante sobre la seguridad y la volatilidad de internet. No sólo se han resaltado las vulnerabilidades en la seguridad de los dispositivos IoT que deben abordarse, sino que también ha provocado un mayor diálogo en la comunidad de la infraestructura de internet sobre el futuro de la internet”, dijo Hilton.

“Como hemos hecho en el pasado, esperamos contribuir a este diálogo”, agregó.

Responsabilidad en disputa

Una investigación independiente del ataque, realizada por Flashpoint, un proveedor de servicios de inteligencia de amenazas, sugirió que, a pesar de algunos de los primeros informes, los autores del atentado muy probablemente no fueron organizados y no trabajaron para obtener ganancias financieras.

Se disputaron diversos reclamos en foros clandestinos pues algunos atribuyeron al gobierno ruso, WikiLeaks y un grupo conocido como New World Hackers la posible responsabilidad, pero otros lo consideraban dudoso y probablemente falso.

Según el director de investigación de seguridad de Flashpoint, Allison Nixon, la infraestructura detrás del ataque también se dirigió a una conocida compañía de videojuegos, lo que a decir de ella era menos indicativo de hacktivistas o actores estatales, y está más probablemente asociado con script kiddies que frecuentan foros de piratería en línea.

“Pueden ser motivados por ganancias financieras, pero a menudo ejecutarán ataques como estos para presumir, o para causar la interrupción y el caos sólo por deporte”, dijo Nixon. “Flashpoint evalúa con confianza moderada de que los más recientes ataques Mirai están probablemente conectados a la comunidad de habla inglesa del foro piratería.”

Nixon agregó que el ataque probablemente no fue motivado económicamente, ya que este tipo de ataques tienden a centrarse en las empresas, sitios de juego en línea o intercambios de Bitcoin.

“No ha habido indicadores de extorsión disponibles públicamente –fuesen que lo intentaran o no– en contra de Dyn DNS o cualquiera de los sitios afectados por el ataque”, dijo.

Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*