7 tunnetuinta DDoS-hyökkäystä

Kun yhä useammat yritykset ovat riippuvaisia verkkopalveluista, kuten pilvipalveluista, ja ryhtyvät toimenpiteisiin parantaakseen verkkoturvallisuuttaan vastaavasti, DDoS-hyökkäyksistä (Distributed Detail of Service) on tullut entistä houkuttelevampi strategia hakkereille, jotka haluavat aiheuttaa kaaosta ja häiriöitä. DDoS-hyökkäykset, jotka on helppo organisoida ja toteuttaa, ovat kehittyneet ja voimistuneet viime vuosikymmenen aikana, eivätkä ne näytä hidastuvan. Vaikka organisaatiot ja datakeskukset ovat lisänneet kyberturvallisuusponnistelujaan lieventääkseen näiden hyökkäysten vaikutuksia, ne voivat silti olla varsin vahingollisia sekä hyökkäysten kohteena oleville yrityksille että asiakkaille, jotka tukeutuvat niiden palveluihin liiketoiminnassaan.

Vaikka viimeaikaiset DDoS-hyökkäykset vähenivät hieman vuonna 2018, vuoden 2019 ensimmäisellä vuosineljänneksellä niiden määrä kasvoi 84 prosenttia edellisvuoteen verrattuna. Sekä näiden hyökkäysten koko että taajuus kasvoivat, ja suurin kasvu tapahtui yli tunnin kestäneissä hyökkäyksissä. Paitsi että näiden hyökkäysten määrä kaksinkertaistui, myös niiden keskimääräinen pituus kasvoi 487 prosenttia. Koska hyökkäyksissä käytetään yhä useammin useita hyökkäysvektoreita, kyberturva-asiantuntijat turvautuvat tekoälyyn ja koneoppimiseen hyökkäysmallien tunnistamiseksi ja DDoS-hyökkäysten torjunnan tehostamiseksi.

Pikalinkit:

• Mikä on DDoS-hyökkäys?
• 7 tunnetuinta viimeaikaista DDoS-hyökkäystä
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Mikä on DDoS-hyökkäys?

Distributed denial of service -hyökkäykset ovat eräänlainen verkkohyökkäys, jonka tarkoituksena on ylikuormittaa palvelimia tai häiritä verkkopalveluja hukuttamalla ne käyttöpyynnöillä. Näiden hyökkäysten konkreettinen menetelmä voi vaihdella, mutta niissä käytetään usein bottiverkkoja.

Mikä on bottiverkko? Se on virtualisoitu ”armeija” vaarantuneita tietokoneita ja palvelimia, joita käytetään tiettyyn järjestelmään kohdistamiseen. DDoS-hyökkäyksen takana oleva hakkeri lähettää haittaohjelmia lukuisiin järjestelmiin, ja jos ne on onnistuneesti asennettu, se voi käyttää haittaohjelmaa ottaakseen etänä haltuunsa osan (tai kaikki) vaarantuneen järjestelmän prosesseista hyökkäyksen toteuttamiseksi.

Mitä DDoS-hyökkäys tekee ja miten se toimii? Se riippuu toteutettavan DDoS-hyökkäyksen erityisestä tyypistä. DDoS-hyökkäyksiä on monenlaisia, kuten:

• Volumetriset hyökkäykset. Näillä hyökkäyksillä pyritään kuluttamaan kaikki verkon käytettävissä oleva kaistanleveys niin, ettei laillisia pyyntöjä voida käsitellä. Esimerkki volumetrisesta DDoS-hyökkäyksestä olisi DNS-vahvistushyökkäys.
• TCP Handshake/SYN Floods. Kohdejärjestelmään lähetetään sarja epätäydellisiä ”TCP Handshake” -protokollan pyyntöjä alustavaa yhteyttä varten, mutta niitä ei koskaan saada valmiiksi – tyypillisesti väärennettyjä IP-osoitteita käyttäen. Tämä on esimerkki ”protokollahyökkäyksestä”. Tässä tapauksessa sivuston lailliset käyttäjät, jotka yrittävät vierailla verkkosivulla, voivat osaltaan lisätä ongelmaa, kun he painavat selaimessaan ”päivitä” saadakseen sivun latautumaan (vaikka tämä on yleensä vain pieni prosenttiosuus kuormituksesta verrattuna varsinaiseen hyökkäykseen).
• Sovelluskerroksen hyökkäykset. Nämä hyökkäykset tunnetaan myös nimellä ”Layer 7 DDoS-hyökkäykset”, ja ne periaatteessa jatkavat palvelimen pingaamista HTTP-pyynnöillä – mikä on vähäistä lähettäjille, mutta resurssi-intensiivistä palvelimelle, jonka on ladattava kaikki tiedostot ja tietokantakyselyt, joita verkkosivusto tarvitsee näyttääkseen sen kunnolla.
• Multi-Vector DDoS-hyökkäykset. Joskus hyökkääjä voi yhdistää useita DDoS-hyökkäysmenetelmiä tehdäkseen hyökkäyksestään tehokkaamman ja vaikeammin torjuttavan. Verkon useisiin kerroksiin kohdistuvat hyökkäykset voivat olla erittäin tehokkaita häiriöiden lisäämiseksi.

DDoS-hyökkäysten estämisen tekee vaikeaksi se, että niitä on niin monenlaisia, ja joitakin niistä on vaikeampi erottaa laillisista liikennepyynnöistä kuin toisia.

7 tunnetuinta viimeaikaisista DDoS-hyökkäyksistä

Amazon Web Services (AWS) (helmikuu 2020)

ZDNetin artikkelin mukaan helmikuussa 2020 ”Amazon kertoi, että sen AWS Shield -palvelu lievitti suurimman koskaan mitatun DDoS-hyökkäyksen pysäyttämällä 2,3 Tbps:n hyökkäyksen”. Ennen tätä hyökkäystä suurimman kirjatun DDoS-hyökkäyksen maailmanennätys oli 1,7 Tbps (Terabittiä sekunnissa), joka itsessään syrjäytti jäljempänä mainitun GitHub-hyökkäyksen asettaman ennätyksen.

ZDNetin artikkelissa ei nimetä AWS:n asiakasta, mutta siinä mainitaan, että ”hyökkäys toteutettiin kaapattujen CLDAP-verkkopalvelimien avulla ja aiheutti AWS Shield -palvelun henkilökunnalle kolmen päivän ’kohonneen uhan’.” CLDAP on lyhenne sanoista Connection-less Lightweight Directory Access Protocol, joka on protokolla yhteyksien muodostamiseen, hakuun ja jaettujen hakemistojen muokkaamiseen internetissä.

Se on myös ZDNetin mukaan protokolla, jota ”on käytetty väärin DDoS-hyökkäyksiin vuoden 2016 loppupuolelta lähtien”, ja että ”CLDAP-palvelimien tiedetään vahvistavan DDoS-liikennettä 56-70-kertaiseksi alkuperäiseen kokoon verrattuna.”

GitHub (helmikuu, 2018)

Suosittu verkkokoodinhallintapalvelu, jota käyttävät miljoonat ohjelmistokehittäjät, ja joka on tottunut suureen liikennemäärään ja suureen käyttöön. Se ei kuitenkaan ollut valmistautunut silloiseen ennätykselliseen 1,3 Tbps:n liikenteeseen, joka tulvi sen palvelimille 126,9 miljoonaa datapakettia sekunnissa. Hyökkäys oli tuolloin suurin kirjattu DDoS-hyökkäys, mutta hyökkäys vei GitHubin järjestelmät alas vain noin 20 minuutiksi. Tämä johtui suurelta osin siitä, että GitHub käytti DDoS-palvelua, joka havaitsi hyökkäyksen ja ryhtyi nopeasti toimenpiteisiin vaikutusten minimoimiseksi.

Toisin kuin monissa viimeaikaisissa DDoS-hyökkäyksissä, GitHub-hyökkäyksessä ei ollut mukana bottiverkkoja. Sen sijaan DDoS-hyökkääjät käyttivät memcachingiksi kutsuttua strategiaa, jossa väärennetty pyyntö toimitetaan haavoittuvalle palvelimelle, joka sitten tulvii kohteena olevaa uhria vahvistetulla liikenteellä. Memcached-tietokantoja käytetään yleisesti verkkosivustojen ja verkkojen nopeuttamiseen, mutta DDoS-hyökkääjät ovat viime aikoina käyttäneet niitä aseena.

Paljastamaton NETSCOUT-asiakas (maaliskuu 2018)

Pian GitHubiin kohdistuneen 1,3 Tbps:n DDoS-hyökkäyksen jälkeen NETSCOUT raportoi, että eräs heidän asiakkaistaan joutui 1,7 Tbps:n DDoS-hyökkäyksen kohteeksi. NETSCOUT kuvaili tämän nimenomaisen hyökkäyksen perustuvan ”samaan memcachedin heijastus-/vahvistushyökkäysvektoriin, joka sekoitti Github-hyökkäyksen.”

Hyökkäyksen massiivisesta koosta huolimatta NETSCOUTin mukaan ”yhtään käyttökatkosta ei raportoitu tämän vuoksi”. Tämä voi toimia esimerkkinä siitä, miten valmistautuminen tietyntyyppiseen hyökkäykseen voi vaikuttaa merkittävästi hyökkäyksen vaikutuksiin.

Dyn (lokakuu 2016)

Suurena DNS-palveluntarjoajana Dyn oli ratkaisevan tärkeä useiden suurten yritysten, kuten Netflixin, PayPalin, Visan, Amazonin ja The New York Timesin verkkoinfrastruktuurille. Käyttämällä Mirai-nimistä haittaohjelmaa tuntemattomat hakkerit loivat massiivisen botnetin, joka sisälsi esineiden internetin (Internet of Things, IoT) laitteita, käynnistääkseen tuolloin suurimman kirjatun DDoS-hyökkäyksen. Hyökkäyksellä oli massiivisia seurannaisvaikutuksia, sillä monet Dynin asiakkaat huomasivat, että heidän verkkosivustonsa olivat rampautuneet DNS-virheiden vuoksi, kun Dynin palvelimet eivät toimineet. Vaikka ongelmat saatiin selvitettyä ja palvelu palautettua päivän loppuun mennessä, se oli pelottava muistutus verkkoinfrastruktuurin hauraudesta.

BBC (joulukuu, 2015)

Vuoden 2015 viimeisenä päivänä ”New World Hacking” -niminen ryhmä käynnisti 600 Gbps:n hyökkäyksen BangStresser-sovellustyökalullaan. Hyökkäys vei BBC:n sivustot, mukaan lukien sen iPlayer-on-demand-palvelu, alas noin kolmeksi tunniksi. Pelkän kokonsa lisäksi, joka oli tuolloin suurin ennätyksellinen DDoS-hyökkäys, BBC:n hyökkäyksen merkittävin piirre oli se, että sen käynnistämiseen käytetty työkalu käytti itse asiassa pilvilaskentaresursseja kahdelta Amazonin AWS-palvelimelta. Tietoturva-alan ammattilaisille, jotka olivat pitkään luottaneet Amazonin maineeseen tietoturvan suhteen, ajatus siitä, että DDoS-hyökkääjät olivat keksineet tavan hyödyntää julkisen pilvipalvelun kaistanleveyttä hyökkäyksensä voimanlähteenä, oli erityisen huolestuttava.

Spamhaus (maaliskuu, 2013)

Vuonna 2013 Spamhaus oli alansa johtava roskapostin suodatusorganisaatio, joka poisti roskapostista jopa 80 prosenttia. Tämä teki siitä houkuttelevan kohteen huijareille, jotka lopulta palkkasivat brittiläisen teini-ikäisen hakkerin käynnistämään massiivisen hyökkäyksen Spamhausin järjestelmien tuhoamiseksi. Hyökkäyksen nopeus oli 300 Gbps, ja se oli suurin tuohon aikaan mitattu DDoS-hyökkäys. Kun Spamhaus vastasi uhkaan turvautumalla DDoS-hyökkäyksen lieventämispalveluun, hyökkääjä siirtyi yrittämään kaataa myös Spamhausin, mikä aiheutti verkkohäiriöitä koko Britanniassa, kun muut yritykset joutuivat ristituleen.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (joulukuu, 2012)

Syyskuussa ja lokakuussa 2012 ryhmä, joka identifioi itsensä nimellä ”Izz ad-Din al-Qassam Cyber Fighters”, käynnisti useita DDoS-hyökkäyksiä yhdysvaltalaisia pankkeja vastaan väitetysti vastauksena YouTubessa olleeseen kiisteltyyn elokuvatraileriin. Myöhemmin samana vuonna ryhmä lupasi laajentaa hyökkäyksiään. Joulukuussa se toteutti sen ja iski kolmen päivän aikana kuutta tunnettua pankkia vastaan, mikä häiritsi palveluja ja aiheutti vakavia hidastuksia. Vaikka hyökkäys oli laajempi kuin muutamaa kuukautta aiemmin tehdyt hyökkäykset, aiempi aalto jätti kyberturva-asiantuntijat paremmin valmistautuneiksi käsittelemään ryhmän käyttämiä bottiverkkotaktiikoita. Hyökkäykset ylsivät huipussaan 63,3 Gbps:iin.

Viimeaikaiset DDoS-hyökkäykset kehittyvät jatkuvasti, ja kyberturva-asiantuntijat työskentelevät ahkerasti niiden vaikutusten torjumiseksi ja niiden vaikutusten vähentämiseksi. Vaikka DDoS-hyökkäys on edelleen asia, josta jokaisen yrityksen tulisi olla huolissaan, on olemassa monia tapoja suojata toimintoja niitä vastaan, DDoS-iskujen torjuntapalveluista datakeskusvaihtoehtoihin, kuten yhdistettyihin ISP-yhteyksiin. Näillä toimilla DDoS-hyökkäyksistä ei ehkä voida tehdä menneisyyttä, mutta ne tekevät niistä vähemmän tehokkaan strategian toimintojen ja palvelujen häiritsemiseksi.