impactdynattack

El pasado viernes ocurrió lo que para muchos es considerado el mayor ciberataque de la última década, mediante el cual fueron interrumpidos los servicios proporcionados por algunas de las compañías más importantes de Internet tales como Twitter, Amazon, Tumblr, Reddit, Spotify, Netfilx, CNN, PayPal o The New York Times, entre muchos otros.

noticiasataqueddosdyn

Seguramente es muy difícil ser tan categórico pero lo que es seguro es que es uno de los ataques que más ruido ha causado, ya que ha impedido que millones de usuarios puedan utilizar algunos de los principales servicios de Internet como se ve en la imagen de la cabecera.

Como ocurrió el ataque

El ataque se produjo contra la compañía Dyn, la cual es uno de los mayores proveedores de DNS a nivel mundial. Los atacantes realizaron un ataque DDoS (Ataque distribuido de denegación de servicio) contra esta compañía, por tanto, las peticiones legítimas de DNS no eran respondidas debido a que los servidores de la compañía Dyn estaban colapsados con tráfico de red basura. Estas peticiones falsas se realizaban desde diversos dispositivos conocidos como IoT devices (dispositivos del Internet de las cosas), tales como videograbadores o cámaras IP.

ataqueddosdyn

Se cree que el ataque se ha realizado utilizando el malware Mirai, que fue el mismo que atacó la web Krebs on Security el pasado mes de septiembre, en el cual se marco un nuevo récord de ancho de banda para un ciberataque de DDoS con una cifra de 620Gbps. Este software fue liberado hace algunas semanas y cualquier atacante podría utilizarlo para generar un ataque de estas características. Mirai consigue controlar dispositivos como videograbadores o cámaras IP con configuraciones por defecto de usuario y contraseña. En muchos casos estos dispositivos no han sido correctamente configurados por sus administradores, pero en muchos otros resulta imposible modificar estas configuraciones porque están definidas dentro del código fuente (hardcodeados) que controla algunos de estos dispositivos. Según informa la empresa Flashpoint, muchos de estos dispositivos vulnerables son de bajo coste y utilizan componentes de la compañía XiongMai Technologies.

Por tanto, el malware Mirai se encargaba de reclutar este tipo de dispositivos para formar una botnet y poder realizar el envío de tráfico basura a los servidores de la compañía Dyn, provocando que estos servidores no pudieran atender las peticiones legítimas.

Autoría del ataque

Aun no se sabe quien ha podido realizar el ataque, pero existen diferentes teorías que pretenden identificar a los autores.

Por un lado, el grupo de hackers New World Hackers se han atribuido la autoría de este ataque en su cuenta de twitter para demostrar su poder:

newhackerworlddynattack

Por otro lado, Wikileaks publicó ayer día 22 el siguiente tweet, el cual, no queda muy claro si es para desmarcarse del ataque o porque realmente piensa que han sido sus seguidores quienes lo han ejecutado:

tweetwikileaksataquedyn

Otras fuentes apuntan a que este ataque puede estar relacionado con la respuesta que EEUU dio frente a los ataques recibidos durante los últimos dos años, entre otros a la compañía Sony, tras los cuales muchas de estas empresas accedieron a prestar más colaboración al gobierno de EEUU para frenar este tipo de amenazas.

Otra posibilidad sería la mera intención de intimidar a la población estadounidense con el fin de impedir el voto por Internet en las próximas elecciones en EEUU que tendrán lugar el 8 de noviembre.

La lista de otras hipótesis es muy larga, yendo desde represalias por parte del gobierno de Korea del Norte a ofensivas financiadas por el gobierno ruso o el mismo ISIS. Seguiremos a la espera de mas información para conocer las verdaderas motivaciones del ataque… aunque teniendo en cuenta el nivel de impacto y la compleja situación geopolítica lo mas probable es que pase largo tiempo hasta que se pueda dilucidar cualquier dato relativamente confiable.