Virus-infekterade kameror bakom den stora ddos-attacken – kinesisk leverantör erkänner

Amerikanska dns-leverentören Dyn var måltavlan för fredagens omfattande överbelastningsattack som stängde ner flera stora sajter som Twitter, Spotify och Amazon. Även svenska krisinformation.se och regeringen.se drabbas av attacken och var stundtals omöjliga att nå. Totalt blockerades 1 200 domännamn under tiden som attacken pågick.

Bakom attacken låg ett omfattande botnet bestående av mellan 5 000 och 10 000 uppkopplade iot-enheter infekterade med viruset Mirai. Nu erkänner kinesiska tillverkaren Hangzhou Xiongmai Technology att det var sårbarheter i bland annat deras kameror som oavsiktligt spelat en roll i attacken. Felet ligger, säger de själva, bland annat i de förinstallerade lösenorden som ska ha varit alldeles för svaga.

Läs också: Hackare använder övervakningskameror för att stjäla kortuppgifter

”Mirai är en enorm katastrof för Internet of things. Vi erkänner att våra produkter också drabbats av hackarnas intrång och olagliga användning”, skriver företaget i ett mejl till IDG News.

Viruset fungerar på så sätt att det kort och gott kapar dåligt skyddade iot-prylar och bygger ihop dem till ett stort nätverk. Därefter används de för att överösa servrar med förfrågningar. Trafiken till de drabbade servrarna blir till slut så omfattande att de kraschar.

Och det är just på grund av dålig säkerhet som viruset varit framgångsrikt, sett ur de kriminellas perspektiv. Svaga lösenord har gjort att Mirai spritt sig till minst 500 000 enheter, skriver IDG News. Tillverkaren av prylarna säger att de har lagat sårbarheten. Från och med nu ombeds användaren att byta lösenord så fort enhetens startas. Äldre versioner ligger dock fortfarande i riskzonen. Uppmaningen är nu att de kunder som sitter på gamla produkter bör uppdatera mjukvaran, ändra användarnamn och lösenord eller koppla bort dem från internet.

Dns-leverantören Dyn har sagt att Miraiviruset och dess botnet åtminstone delvis låg bakom attacken mot deras tjänst. Attacken har dessutom, av säkerhetsexperter, uppskattats vara den största som riktats mot en dns-leverantör baserat på den globala spridningen och antalet domäner som drabbats samtidigt.

Läs också: 21 000 svenska webbkameror och routrar vidöppna för hackare

”Vi har fångat upp 10-tals miljoner separata ip-adresser som kan kopplas till Mirai-nätverket och som var en del av attacken”, skriver Dyn i ett uttalande.

Dyn lyckades till slut avvärja attacken, men risken finns att Mirai slår till igen. För ett par veckor sedan släppte virusets upphovsman, en okänd utvecklare, källkoden till hackargrupper på nätet. Och de har varit flitiga, redan har säkerhetsföretag hittat kopior och omarbetade versioner.

En rad svenska myndighetssajter gick också ner under fredagen, däribland msb.se, krisinformation.se och regeringen.se. Gemensamt för dem är att de i olika grad är beroende av Dyn, uppger dn.se.