Incapsula ผู้ให้บริการโซลูชัน DDoS Mitigation ชื่อดัง ออกมาแจ้งเตือนถึงมัลแวร์ Mirai สายพันธุ์ใหม่ ที่อยู่เบื้องหลังการโจมตีมหาวิทยาลัยแห่งหนึ่งในสหรัฐฯ นานกว่า 54 ชั่วโมง โดยระบุว่าเป็นการโจมตีระดับ “Layer 7” ซึ่งเน้นที่การใช้ทรัพยากรของเซิร์ฟเวอร์จนหมด แทนที่จะทำให้ Bandwidth ของมหาวิทยาลัยเต็มด้วยทราฟฟิกขยะ
Incapsula ระบุว่า การโจมตีที่ตรวจจับได้นี้เริ่มต้นเมื่อวันที่ 28 กุมภาพันธ์ที่ผ่านมา โดนกินระยะเวลานานกว่า 2 วัน มีการส่ง Request มาโดยเฉลี่ยสูงถึง 30,000 Request/second และช่วงพีคมีการโจมตีสูงสุดที่ 37,000 Request/second ดังแสดงในรูปด้านล่าง
อย่างไรก็ตามระบบของมหาวิทยาลัยยังคงสามารถให้บริการได้ตามปกติ เนื่องจาก Incapsula สามารถรับมือการโจมตีทั้งหมดไว้ได้ ซึ่งหลังจากโจมตีไปได้ 54 ชั่วโมง แฮ็คเกอร์ได้หยุดโจมตีลง และเริ่มลองใหม่อีกครั้ง แต่การโจมตีระลอกที่สองมีขนาดเพียง 15,000 Request/second และกินเวลาเพียง 90 นาทีเท่านั้น คาดว่าแฮ็คเกอร์คงเห็นว่าไม่สามารถล่มระบบของมหาวิทยาลัยแน่นอน จึงล้มเลิกการโจมตีไป
หลังจากตรวจสอบ Log ของทราฟฟิก DDoS พบว่าแฮ็คเกอร์ใช้กล้อง CCTV, DVR และ Router ในการโจมตี ซึ่งสอดคล้องกับพฤติกรรมของมัลแวร์ Mirai ที่มุ่งโจมตีอุปกรณ์ Internet of Things ให้กลายเป็น DDoS Botnets
ก่อนหน้านี้เมื่อปลายปีที่ผ่านมา ซอร์สโค้ดของ Mirai ได้ถูกเผยแพร่สู่สาธารณะ ทำให้แฮ็คเกอร์หลายรายใช้เป็นเครื่องมือในการโจมตีองค์กรต่างๆ ทั่วโลก ไม่ว่าจะเป็น KrebsOnSecurity, OVH, Dyn DNS และ Deutsche Telekom ในประเทศเยอรมนี อย่างไรก็ตาม หลังจากที่ตำรวจในสหราชอาณาจักรจับตัวผู้ต้องสงสัยได้และบริษัทด้านความมั่นคงปลอดภัยหลายแห่งร่วมกันปิด C&C Server ก็ทำให้จำนวน Mirai Botnet ค่อยๆ ลดลงอย่างเห็นได้ชัด
After a spike in activity following Popopret botnet takedown, Mirai infections continue to declining due to aggressive sinkholing. pic.twitter.com/ZSlfoujoJK
— MalwareTechLab (@MalwareTechLab) March 27, 2017
Incapsula เชื่อว่า Mirai Botnet ที่โจมตีมหาวิทยาลัยแห่งนี้ เป็น Mirai สายพันธุ์ใหม่ที่มีการปรับแต่งให้โจมตีระดับ Layer 7 แทนที่จะเป็น Layer 3 แบบเดิม