För två veckor sedan inleddes två enorma ddos-attacker. Den ena, nätets hittills kraftfullaste, sänkte journalisten Brian Krebs sajt, den andra slog mot den franska molnleverantören OVH med över 1Tbps av data.
Attackerna ska ha utförts av ett jättelikt botnätverk bestående av över 145 000 hackade enheter. Det handlar inte om datorer med virus, utan om dåligt skyddade uppkopplade prylar i sakernas internet. De flesta av dem var övervakningskameror, men det fanns allt från glödlampor till videospelare med i leken.
Den här typen av attacker är inget nytt i sig. Det är storleken som får dem att sticka ut, och tyvärr kan vi vänta oss fler sådana jätteangrepp i framtiden.
Viruset som infekterat enheterna kallar Mirai, och har hittills varit kontrollerat av en enskild hackare eller hackergrupp. Men inte längre.
Läs också: 145000 hackade övervakningskameror bakom världens kraftigaste ddos-attack
För en dryg vecka sedan läckte någon – förmodligen skaparen – källkoden till Mirai på ett hackerforum, skriver säkerhetsföretaget Incapsula som bevakat attackerna. Resultatet går redan att skymta
Flera småskaliga attacker med Mirai-infekterade enheter har redan utförts. Ingen har nått upp till samma enorma dataflöde. Men fler och betydligt kraftfullare attacker förutspås.
"Förmodligen är det här tecken på vad som komma skall, och vi förväntar oss att behöva hantera fler Mirai-ledda attacker inom en nära framtid", skriver Incapsula i ett blogginlägg.
Åsikten delas av säkerhetsföretagen F5 som tror att iot-baserade attacker på över 1Tpbs kommer att bli vardagsmat i framtiden.
"Att döma av andra gånger då källkoden till virus läckt ut ... kan vi förvänta oss att den svarta marknaden kommer att anpassa, kombinera och förbättra koden vilket leder till nya och starkare varianter [av Mirai]", skriver F5 på sin blogg.
Så vad är det som gör Mirai så speciellt? Inte mycket, om du frågar Akamais webbsäkerhetschef Josh Shaul.
– Det här är inte direkt Stuxnet, säger han till Networkworld.
Viruset sprids på ett ganska rättframt sätt. Det scannar av nätet efter internet of things-produkter som levereras med enkla standardlösenord – tänk "password", "admin" eller "123456" – och provar helt enkelt att logga in och installera den skadliga koden.
Läs också: Så använder hackare dina uppkopplade prylar i ddos-attacker
– Oftast är det exploitsen eller möjligheten att gömma den skadliga koden som är det coola. Mirai kan klara en omstart av den infekterade enheten, men det är inte supersofistikerat, säger Josh Shaul.
Det försöker inte ens gömma sig, måltavlorna är uppkopplade enheter som ingen bryr sig om att kontrollera.
Det mest intressanta som Incapsula hittat i källkoden är att Mirai innehåller en lista på ip-adresser att undvika. Där finns ett par stora it-företag, organisationen Iana och det amerikanska försvarsdepartementet. Hypotetiskt sett skulle det kunna vara ett sätt att undvika att bli påkommen av aktörer som letar efter hot – fast varför är det så få adresser på listan och varför ligger virusets skapare i så fall bakom två av de värsta ddos-attackerna i historien?
