7 des plus célèbres attaques DDoS récentes

Alors que de plus en plus d’entreprises dépendent de services en ligne comme le cloud computing et prennent des mesures pour améliorer la sécurité de leur réseau en conséquence, les attaques DDoS (distributed detail of service) sont devenues une stratégie plus attrayante pour les pirates qui cherchent à semer le chaos et la perturbation. Faciles à organiser et à exécuter, les attaques DDoS récentes sont devenues plus sophistiquées et plus intenses au cours de la dernière décennie et montrent peu de signes de ralentissement. Bien que les organisations et les centres de données aient intensifié leurs efforts en matière de cybersécurité pour atténuer l’impact de ces attaques, elles peuvent encore être assez dommageables tant pour les entreprises visées que pour les clients qui dépendent de leurs services pour faire des affaires.

Bien que les attaques DDoS récentes aient légèrement diminué en 2018, le premier trimestre de 2019 a connu une augmentation de 84 % par rapport à l’année précédente. La taille et la fréquence de ces attaques ont augmenté, la croissance la plus importante étant celle des attaques de plus d’une heure. Non seulement ces attaques ont doublé en quantité, mais leur durée moyenne a également augmenté de 487 pour cent. Comme les attaques utilisent de plus en plus de multiples vecteurs d’attaque, les experts en cybersécurité se tournent vers l’intelligence artificielle et l’apprentissage automatique pour identifier les modèles d’attaque et renforcer leur atténuation des DDoS.

Liens rapides :

• Qu’est-ce qu’une attaque DDoS ?
• 7 des plus célèbres attaques DDoS récentes
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Qu’est-ce qu’une attaque DDoS ?

Les attaques par déni de service distribué sont un type de cyberattaque conçu pour surcharger les serveurs ou perturber les services réseau en les submergeant de demandes d’accès. La méthode spécifique de ces attaques peut varier de l’une à l’autre, mais comporte fréquemment l’utilisation de botnets.

Qu’est-ce qu’un botnet ? C’est une « armée » virtualisée d’ordinateurs et de serveurs compromis qui sont utilisés pour cibler un système spécifique. Le pirate à l’origine de l’attaque DDoS envoie des logiciels malveillants à de nombreux systèmes et, s’ils sont installés avec succès, il peut utiliser ces logiciels malveillants pour prendre le contrôle à distance de certains (ou de tous) les processus du système compromis afin de mener à bien l’attaque.

Que fait une attaque DDoS et comment fonctionne-t-elle ? Cela dépend du type spécifique d’attaque DDoS menée. Il existe de nombreux types différents d’attaques DDoS, tels que :

• Attaque volumétrique. Ces attaques cherchent à consommer toute la bande passante disponible sur un réseau afin qu’aucune demande légitime ne puisse être traitée. Un exemple d’attaque DDoS volumétrique serait une attaque d’amplification DNS.
• Floods TCP Handshake/SYN. Une série de requêtes incomplètes du protocole « TCP Handshake » pour une connexion initiale sont envoyées au système cible, mais ne sont jamais complétées-typiquement en utilisant des adresses IP usurpées. Il s’agit d’un exemple d' »attaque de protocole ». Ici, les utilisateurs légitimes du site qui essaient de visiter la page web peuvent contribuer davantage au problème car ils appuient sur « rafraîchir » sur leur navigateur pour que la page se charge (bien que cela ne représente généralement qu’un infime pourcentage de la charge par rapport à l’attaque réelle).
• Attaques de la couche application. Également connues sous le nom d' » attaques DDoS de niveau 7 « , ces attaques ne cessent d’envoyer des requêtes HTTP au serveur, ce qui a un faible impact sur les expéditeurs, mais exige beaucoup de ressources pour le serveur qui doit charger tous les fichiers et les requêtes de base de données dont le site Web a besoin pour s’afficher correctement.
• Attaques DDoS multi-vecteurs. Parfois, un attaquant peut combiner plusieurs méthodes d’attaque DDoS pour rendre son attaque plus efficace et difficile à contrer. Cibler plusieurs couches du réseau peut être extrêmement efficace pour augmenter les perturbations.

Ce qui rend difficile la prévention des attaques DDoS, c’est qu’il en existe de nombreux types, et que certains sont plus difficiles à séparer des demandes de trafic légitime que d’autres.

7 des plus célèbres attaques DDoS récentes

Amazon Web Services (AWS) (février 2020)

Selon un article de ZDNet, en février 2020, « Amazon a déclaré que son service AWS Shield a atténué la plus grande attaque DDoS jamais enregistrée, en arrêtant une attaque de 2,3 Tbps. » Avant cette attaque, le record mondial de la plus grande attaque DDoS enregistrée était de 1,7 Tbps (Terabits par seconde), qui a lui-même supplanté le record établi par l’attaque GitHub qui sera mentionnée ci-dessous.

L’article de ZDNet ne nomme pas le client AWS, mais il mentionne que « l’attaque a été menée à l’aide de serveurs web CLDAP détournés et a provoqué trois jours de « menace élevée » pour le personnel d’AWS Shield. » CLDAP signifie Connection-less Lightweight Directory Access Protocol, qui est un protocole permettant de se connecter, de rechercher et de modifier des répertoires partagés sur Internet.

C’est aussi, selon ZDNet, un protocole qui « a été abusé pour des attaques DDoS depuis fin 2016 » et que « les serveurs CLDAP sont connus pour amplifier le trafic DDoS de 56 à 70 fois sa taille initiale. »

GitHub (février, 2018)

Service populaire de gestion de code en ligne utilisé par des millions de développeurs, GitHub est habitué à un trafic et une utilisation élevés. Ce à quoi il n’était pas préparé, c’est au trafic record de 1,3 Tbps de l’époque qui a inondé ses serveurs de 126,9 millions de paquets de données chaque seconde. L’attaque était la plus importante attaque DDoS enregistrée à l’époque, mais l’assaut n’a mis les systèmes de GitHub hors service que pendant environ 20 minutes. Cela est dû en grande partie au fait que GitHub a utilisé un service d’atténuation des DDoS qui a détecté l’attaque et a rapidement pris des mesures pour minimiser l’impact.

Contrairement à de nombreuses attaques DDoS récentes, l’attaque de GitHub n’a pas impliqué de botnets. Au lieu de cela, les attaquants DDoS ont utilisé une stratégie connue sous le nom de memcaching, dans laquelle une requête usurpée est livrée à un serveur vulnérable qui inonde ensuite une victime ciblée avec un trafic amplifié. Les bases de données Memcached sont couramment utilisées pour aider à accélérer les sites Web et les réseaux, mais ont récemment été militarisées par les attaquants DDoS.

Client NETSCOUT non divulgué (mars 2018)

Peu de temps après l’attaque DDoS de 1,3 Tbps contre GitHub, NETSCOUT a signalé qu’un de ses clients avait été ciblé par une attaque DDoS de 1,7 Tbps. Cette attaque particulière a été décrite par NETSCOUT comme étant « basée sur le même vecteur d’attaque par réflexion/amplification de memcached qui a rendu folle l’attaque de GitHub »

Mais, malgré la taille massive de l’attaque, « aucune panne n’a été signalée à cause de cela », selon NETSCOUT. Cela peut servir d’exemple pour montrer comment le fait d’être préparé à un type d’attaque spécifique peut faire une différence majeure dans l’impact de cette attaque.

Dyn (octobre, 2016)

En tant que fournisseur majeur de DNS, Dyn était crucial pour l’infrastructure réseau de plusieurs grandes entreprises, notamment Netflix, PayPal, Visa, Amazon et le New York Times. À l’aide d’un logiciel malveillant appelé Mirai, des pirates non identifiés ont créé un botnet massif incorporant des dispositifs de l’internet des objets (IoT) pour lancer ce qui était à l’époque la plus grande attaque DDoS enregistrée. L’attaque a eu un effet de ruissellement massif, car de nombreux clients de Dyn ont vu leurs sites Web paralysés par des erreurs de DNS lorsque les serveurs de Dyn sont tombés en panne. Bien que les problèmes aient été réglés et le service rétabli en fin de journée, il s’agissait d’un rappel effrayant de la fragilité de l’infrastructure réseau.

BBC (décembre, 2015)

Le dernier jour de 2015, un groupe appelé « New World Hacking » a lancé une attaque de 600 Gbps en utilisant son outil d’application BangStresser. L’attaque a mis hors service les sites de la BBC, y compris son service à la demande iPlayer, pendant environ trois heures. Outre sa taille, qui était la plus grande attaque DDoS jamais enregistrée à l’époque, l’aspect le plus remarquable de l’attaque de la BBC était le fait que l’outil utilisé pour la lancer utilisait en fait des ressources informatiques en nuage provenant de deux serveurs Amazon AWS. Pour les professionnels de la sécurité informatique qui faisaient depuis longtemps confiance à la réputation d’Amazon en matière de sécurité, l’idée que les attaquants DDoS avaient trouvé un moyen d’exploiter la bande passante d’un service de cloud computing public pour alimenter leur assaut était particulièrement troublante.

Spamhaus (mars, 2013)

En 2013, Spamhaus était une organisation de filtrage du spam leader du secteur, éliminant jusqu’à 80 % des courriers électroniques indésirables. Cela en a fait une cible attrayante pour les escrocs, qui ont fini par engager un adolescent pirate en Grande-Bretagne pour lancer une offensive massive visant à mettre hors service les systèmes de Spamhaus. Avec un débit de 300 Gbps, cette attaque était la plus importante attaque DDoS enregistrée à l’époque. Lorsque Spamhaus a répondu à la menace en se tournant vers un service d’atténuation des DDoS, l’attaquant a changé d’objectif pour tenter de le faire tomber également, ce qui a provoqué des perturbations du réseau dans toute la Grande-Bretagne, d’autres entreprises étant prises entre deux feux.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (décembre, 2012)

En septembre et octobre 2012, un groupe s’identifiant comme « Izz ad-Din al-Qassam Cyber Fighters » a lancé plusieurs attaques DDoS contre des banques américaines, prétendument en réponse à une bande-annonce de film controversée sur YouTube. Plus tard dans l’année, le groupe a promis d’étendre la portée de ses attaques. En décembre, il s’est exécuté en frappant six banques de premier plan en l’espace de trois jours, perturbant les services et provoquant un ralentissement important. Bien que l’attaque ait été plus importante que celles menées quelques mois auparavant, la vague précédente a permis aux experts en cybersécurité d’être mieux préparés à faire face aux tactiques de botnet déployées par le groupe. À son apogée, les attaques ont atteint 63,3 Gbps.

Alors que les récentes attaques DDoS continuent d’évoluer, les experts en cybersécurité travaillent dur pour contrer leurs effets et diminuer leur impact. Bien qu’une attaque DDoS soit toujours quelque chose dont chaque entreprise devrait s’inquiéter, il existe de nombreuses façons de protéger les opérations contre elles, des services d’atténuation des DDoS aux options de centre de données comme la connectivité ISP mixte. Ces efforts ne permettront peut-être pas de faire des attaques DDoS une chose du passé, mais ils en font une stratégie moins efficace pour perturber les opérations et les services.