上周，一位知名安全記者的個人網站遭到黑客連續兩天的大規模攻擊，最終被迫將其關閉。

此次黑客襲擊力量在網絡上從未出現過：是一支由一百多萬物聯網攻擊裝置組成的有規模的隊伍。

全球最大的因特網骨干網運營商Level3通信表示，這些黑客的身份尚不確定。他們在此次襲擊中使用了兩個分別由98萬被入侵的設備和50萬被入侵的設備組成的網絡，其中多為網絡互聯攝像頭，即黑客術語中所說的“僵尸網絡”。黑客利用這些攝像頭和其他不安全在線設備連接該記者的網站，對其進行大量請求，企圖使其癱瘓。

獨立記者布萊恩·克雷布長期以來致力于揭露DDoS網絡犯罪。據稱，這些僵尸網絡是導致其個人網站KrebsOnSecurity.com被黑的幕后黑手。此次網絡攻擊達到超過660Gbps的數據流量，是有史以來流量最大的一次黑客襲擊。

更多信息請訪問：The Internet of Things Will Turn Large-Scale Hacks into Real World Disasters

level3已經追蹤了攻擊克雷布斯網站中的一個僵尸網絡近一個月。上周，他們發現黑客是利用該網絡和另一個小型網絡來攻擊克雷布斯的個人網站。

“他們還在用那個網絡。” Level 3通信的首席安全官戴爾·德魯周三與Motherboard交談中提到，“包括今天早上。”

安全研究員仍在調查此次攻擊，并努力找出其背后的力量。但是那些一直從事網站安全保護，防止DDoS攻擊的人員一致認為，由于其驚人的波及范圍及對物聯僵尸網絡的使用，使此次黑客攻擊毫無先例可循。

“這是我們所見過的規模最大的一次網絡攻擊。”馬丁·麥克如是說。他是Akamai的高級安全研究員，他們公司從上周起為克雷布斯提供安全保護。

然而，現在還不清楚黑客是否使用了這兩個網絡的所有力量或其中一部分。德魯表示，黑客使用了120萬僵尸網絡節點來攻擊克雷布斯的網站。但是，麥克本人更傾向于深入研究此次攻擊的細節，他認為，Akamai檢測到的信息并未顯示出上述數據的準確性。（Akamai早前為克雷布斯提供免費網站安全保護，但因阻截黑客流量耗資巨大，也已決定放棄。）

克雷布斯的網絡攻擊事件和近幾周類似的網絡攻擊事例可能預示著新時代的到來，即黑客利用物聯網設備或者惡意軟件攻擊。一些人認為這個噩夢終會到來。

Cloudflare公司提供DDoS保護，其創始人馬修·普林斯表示，“我們開始意識到對安全等級低的裝置，黑客造成的影響是破壞性的。我不知道多少機構見識過僵尸網絡的攻擊力，但不得不說，這是難以避免的。黑客對克雷布斯的攻擊結束后，網上的其他用戶不可避免的會受到同樣的攻擊。”

克雷布斯網站受到的攻擊是非比尋常的，一則規模和數量龐大，一則攻擊方式十分直接。過去幾年，黑客通過虛假服務器，使惡意流量激增，對DDoS發起猛烈攻擊。網絡攻擊中，服務器會產生大量反饋信息。這種擴大及反饋式的攻擊會增強黑客的攻擊力度。

然而，在這種情況下，誰是幕后發起者，誰將火力全開。

普林斯說，“黑客并不只發送那些能輕易識別的垃圾信息，他們還會發送相對合法的信息。”

物聯網的僵尸軍是如何形成的

據Level 3，攻擊克雷布斯的大量僵尸網設備中，大多數是由美國攝像機和DVR生產商DAHUA技術有限公司生產的網絡互聯攝像頭。該公司證實，到八月底，已有一百萬強大的僵尸網絡存在。

德魯解釋道，黑客們找到系統漏洞，控制大多數DAHUA攝像機，通過形成大量隨機用戶，以獲得在Linux系統運行下的控制權。

黑客將惡意軟件與服務器捆綁形成僵尸網絡，對網站進行DDoS攻擊，并用勒索軟件進行敲詐。根據level3和相關網絡攻擊調查員所說，惡意軟件是之前名為 Lizkebab, BASHLITE, Torlus and gafgyt等組織的一分子，目標直指Linux服務器。

“這些攝像頭將會持續曝光一段時間。”

瑪莎韋伯是BackConnect DDoS公司的技術主管。據其所言，黑客利用的是最新的循環惡意軟件家族，現在被稱為Mirai。

Mirai的傳播速度很快。一名安全研究員將外表像ADSL路由器并運行Linux操作系統的六個虛擬機在線上投放使用。換句話說，這和Mirai的攻擊目標十分相像，簡直就是一套蜜罐技術。

這名為保護身份而化名“Jack B”的研究人員在網上聊天時告訴我，利用惡意軟件家族攻擊目標平均僅需要15分鐘。

DAHUA未對這些評論做出回應。但德魯表示該公司已得知了漏洞，并在努力解決這個問題。他說，DAHUA現在沒有辦法來遠程解決這個安全漏洞，同時客戶需要下載新的固件并更新攝像頭。

“這些攝像頭將會持續曝光一段時間.”德魯說。

然而，僵尸網絡并不僅僅由DAHUA設備組成。畢竟與我交談過的研究人員還列出了其他的嵌入式設備，比如家用路由器和Linux服務器。

偵探小說

這種攻擊的虛假通信量來源較多，其特性使得我們很難準確定位誰才是真正的幕后黑手。

在過去的幾個星期里，克雷布斯背后的攻擊者似乎一直在使用同一個僵尸網絡或用相似手段攻擊其他目標，如里約奧運會的官方網站。據Arbor Networks，此次攻擊的速度為每秒540兆。

此次攻擊使用了一種設計很像通用路由封裝（GRE）數據包的通信方式。就DDoS攻擊協議來說，這是一個不同尋常的選擇。正如記者報道，克雷布斯攻擊背后的黑客也使用了GRE通信方式。

同樣在上周，法國的托管服務提供商OVH悄悄地報道了一系列的大型DDoS攻擊事件，據記錄可知速度高達900Gbps甚至1Tbps。

OVH拒絕表態，因此，針對克雷布斯的攻擊是否與其相關就不得而知。

某些隱含證據直指lizard squad和Poodlecorp之類的團體，他們曾因使用DDoS攻擊，破壞游戲平臺和網站而聞名。

Lizard Squad曾使用Lot infecting惡意軟件，而其后繼者Mirai據說則是一個建立了百萬強大僵尸網絡的惡意軟件。但是任何人都有可能使用此類惡意軟件新衍的生品。

上周，一名名為Bannedoffline的黑客發文說他參加了網絡攻擊。

但他只是眾多黑客中的一員。

Baaned在網上與我交談說道，“我并不是唯一一個討厭克雷布斯和他網站的人，至少在黑客團體中，沒人喜歡他。”

名為Cripthepoodle的黑客聲稱曾是Poodlecorp中一員，并表示該組織也參與了此次攻擊。

他說，“他們喜歡制造聲勢，后果越混亂越好。”

上周，克雷布斯暫時關閉了網站，Poodle 在其半官方賬號上發文嘲笑他，不過該貼最近已經刪掉了。當然，這更多是嘲諷他總是定期報道和曝光黑客組織。

無論此次黑客襲擊的幕后主使是誰，可以肯定的是，他們不僅會受到安全研究員的追蹤，還將面對法律的制裁。（FBI有意對其是否將對網絡攻擊進行調查做出回應。）

根據普林斯和level 3的看法，此次針對克雷布斯的網站攻擊影響范圍巨大，導致某些網絡路線癱瘓，整個互聯網的部分網絡也受到DDoS的波及。可能那些在Netflix(全球十大視頻網站中唯一收費站點)上觀看視頻或收發郵件的用戶并未注意到這一問題，但網絡服務運營商及當局肯定知道這一情況。

“如果有人在網上發起黑客攻擊，且其規模已然大到影響了整個互聯網的基本運行，用不了多久就會被找到。”普林斯表示。

即使此次攻擊的黑客被抓了，這些危及物聯網的大規模DDoS攻擊也只是黑客襲擊大軍中的敢死隊，其他犯罪分子必然會效仿他們的行為。

普林斯稱，“我敢說，現在肯定有15歲的孩子正在圍捕他們可以破壞或控制的閉路電視攝像頭。”

或者用Akamai的話來說，“這是互聯網世界的壞現象。”

本文由 安全客 翻譯，轉載請注明“轉自安全客”，并附上鏈接。

原文鏈接：https://motherboard.vice.com/read/15-million-connected-cameras-ddos-botnet-brian-krebs