7 dei più famosi attacchi DDoS recenti

Come sempre più aziende diventano dipendenti da servizi online come il cloud computing e prendono provvedimenti per migliorare la loro sicurezza di rete di conseguenza, gli attacchi DDoS (distributed detail of service) sono diventati una strategia più attraente per gli hacker che cercano di creare caos e interruzione. Facili da organizzare ed eseguire, i recenti attacchi DDoS sono diventati più sofisticati e intensi nell’ultimo decennio e mostrano pochi segni di rallentamento. Anche se le organizzazioni e i data center hanno intensificato i loro sforzi di cybersicurezza per mitigare l’impatto di questi attacchi, possono ancora essere piuttosto dannosi sia per le aziende prese di mira che per i clienti che si affidano ai loro servizi per fare affari.

Anche se i recenti attacchi DDoS sono leggermente diminuiti nel 2018, il primo trimestre del 2019 ha visto un aumento dell’84% rispetto all’anno precedente. Sia le dimensioni che la frequenza di quegli attacchi sono aumentate, con la crescita maggiore che è arrivata negli attacchi che durano più di un’ora. Non solo questi attacchi sono raddoppiati in quantità, ma anche la loro lunghezza media è aumentata del 487 per cento. Poiché gli attacchi utilizzano sempre più vettori di attacco multipli, gli esperti di sicurezza informatica si stanno rivolgendo all’intelligenza artificiale e all’apprendimento automatico per identificare i modelli di attacco e rafforzare la loro mitigazione DDoS.

Quick Links:

• Che cosa è un attacco DDoS?
• 7 dei più famosi attacchi DDoS recenti
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Cosa è un attacco DDoS?

Gli attacchi DDoS sono un tipo di attacco informatico progettato per sovraccaricare i server o interrompere i servizi di rete sommergendoli di richieste di accesso. Il metodo specifico di questi attacchi può variare da uno all’altro, ma spesso sono caratterizzati dall’uso di botnet.

Cos’è una botnet? È un “esercito” virtualizzato di computer e server compromessi che vengono utilizzati per colpire un sistema specifico. L’hacker dietro l’attacco DDoS invia malware a numerosi sistemi e, se installato con successo, può usare quel malware per assumere in remoto alcuni (o tutti) i processi del sistema compromesso per eseguire l’attacco.

Cosa fa un attacco DDoS e come funziona? Questo dipende dal tipo specifico di attacco DDoS che viene effettuato. Ci sono molti tipi diversi di attacchi DDoS, come:

• Attacchi volumetrici. Questi attacchi cercano di consumare tutta la larghezza di banda disponibile su una rete in modo che nessuna richiesta legittima possa essere elaborata. Un esempio di attacco DDoS volumetrico sarebbe un attacco di amplificazione DNS.
• TCP Handshake/SYN Floods. Una serie di richieste di protocollo “TCP Handshake” incomplete per una connessione iniziale vengono inviate al sistema di destinazione, ma non vengono mai completate, di solito utilizzando indirizzi IP spoofed. Questo è un esempio di “attacco di protocollo”. In questo caso, gli utenti legittimi del sito che cercano di visitare la pagina web possono contribuire ulteriormente al problema quando premono “aggiorna” sui loro browser per far caricare la pagina (anche se questo è di solito solo una piccola percentuale del carico rispetto all’attacco effettivo).
• Attacchi a livello di applicazione. Conosciuto anche come “Layer 7 DDoS Attacks”, questi attacchi fondamentalmente continuano a pingare il server con richieste HTTP – qualcosa che è a basso impatto per i mittenti, ma ad alta intensità di risorse per il server che deve caricare tutti i file e le query di database di cui il sito web ha bisogno per visualizzare correttamente.
• Attacchi DDoS multi-vettore. A volte, un attaccante può combinare diversi metodi di attacco DDoS per rendere il suo attacco più efficace e difficile da contrastare. Prendere di mira più livelli della rete può essere estremamente efficace per aumentare il disturbo.

Quello che rende difficile prevenire gli attacchi DDoS è che ci sono così tanti tipi di essi, e alcuni sono più difficili da separare dalle richieste di traffico legittimo rispetto ad altri.

7 dei più famosi attacchi DDoS recenti

Amazon Web Services (AWS) (febbraio 2020)

Secondo un articolo di ZDNet, nel febbraio del 2020, “Amazon ha detto che il suo servizio AWS Shield ha mitigato il più grande attacco DDoS mai registrato, fermando un attacco di 2,3 Tbps”. Prima di questo attacco, il record mondiale per il più grande attacco DDoS registrato era di 1,7 Tbps (Terabit al secondo), che ha soppiantato il record stabilito dall’attacco di GitHub che sarà menzionato di seguito.

L’articolo di ZDNet non nomina il cliente di AWS, ma ha menzionato che “l’attacco è stato effettuato utilizzando server web CLDAP dirottati e ha causato tre giorni di ‘elevata minaccia’ per il personale di AWS Shield”. CLDAP sta per Connection-less Lightweight Directory Access Protocol, che è un protocollo per la connessione, la ricerca e la modifica di directory condivise su Internet.

È anche, secondo ZDNet, un protocollo che “è stato abusato per attacchi DDoS dalla fine del 2016” e che “i server CLDAP sono noti per amplificare il traffico DDoS da 56 a 70 volte la sua dimensione iniziale.”

GitHub (febbraio, 2018)

Un popolare servizio di gestione del codice online utilizzato da milioni di sviluppatori, GitHub è abituato a un alto traffico e utilizzo. Quello a cui non era preparato era l’allora record di 1,3 Tbps di traffico che ha inondato i suoi server con 126,9 milioni di pacchetti di dati ogni secondo. L’attacco è stato il più grande attacco DDoS registrato in quel momento, ma l’assalto ha portato i sistemi di GitHub giù solo per circa 20 minuti. Questo è stato in gran parte dovuto al fatto che GitHub ha utilizzato un servizio di mitigazione DDoS che ha rilevato l’attacco e ha rapidamente adottato misure per ridurre al minimo l’impatto.

A differenza di molti attacchi DDoS recenti, l’attacco di GitHub non ha coinvolto botnet. Invece, gli attaccanti DDoS hanno usato una strategia nota come memcaching, in cui una richiesta spoofed viene consegnata a un server vulnerabile che poi inonda una vittima mirata con traffico amplificato. I database Memcached sono comunemente utilizzati per aiutare a velocizzare i siti web e le reti, ma recentemente sono stati armati dagli attaccanti DDoS.

Cliente non rivelato di NETSCOUT (marzo 2018)

Non molto tempo dopo l’attacco DDoS da 1,3 Tbps contro GitHub, NETSCOUT ha riferito che uno dei suoi clienti è stato bersaglio di un attacco DDoS da 1,7 Tbps. Questo particolare attacco è stato descritto da NETSCOUT come “basato sullo stesso vettore di attacco memcached reflection/amplification che ha fatto impazzire l’attacco di Github.”

Tuttavia, nonostante le enormi dimensioni dell’attacco, “non sono state segnalate interruzioni a causa di questo”, secondo NETSCOUT. Questo può servire come esempio di come essere preparati per un tipo specifico di attacco può fare una grande differenza nell’impatto di quell’attacco.

Dyn (ottobre 2016)

Come un importante fornitore di DNS, Dyn era fondamentale per l’infrastruttura di rete di diverse grandi aziende, tra cui Netflix, PayPal, Visa, Amazon e il New York Times. Utilizzando un malware chiamato Mirai, hacker non identificati hanno creato una massiccia botnet che incorporava dispositivi Internet of Things (IoT) per lanciare quello che era al momento il più grande attacco DDoS registrato. L’assalto ha avuto enormi effetti a cascata, come molti clienti di Dyn hanno trovato i loro siti web paralizzati da errori DNS quando i server di Dyn sono andati giù. Anche se i problemi sono stati risolti e il servizio ripristinato entro la fine della giornata, è stato un ricordo spaventoso della fragilità delle infrastrutture di rete.

BBC (dicembre, 2015)

L’ultimo giorno del 2015, un gruppo chiamato “New World Hacking” ha lanciato un attacco da 600 Gbps utilizzando il suo strumento di applicazione BangStresser. L’attacco ha portato i siti della BBC, compreso il suo servizio iPlayer on-demand, giù per circa tre ore. A parte la sua dimensione pura, che è stato il più grande attacco DDoS registrato in quel momento, l’aspetto più degno di nota dell’attacco della BBC è stato il fatto che lo strumento utilizzato per lanciarlo ha effettivamente utilizzato risorse di cloud computing da due server Amazon AWS. Per i professionisti della sicurezza IT che si erano a lungo fidati della reputazione di Amazon per la sicurezza, l’idea che gli attaccanti DDoS avessero trovato un modo per sfruttare la larghezza di banda di un servizio pubblico di cloud computing per alimentare il loro assalto era particolarmente preoccupante.

Spamhaus (marzo 2013)

Nel 2013, Spamhaus era un’organizzazione leader nel settore del filtraggio dello spam, eliminando fino all’80% delle e-mail di spam. Questo li ha resi un obiettivo attraente per i truffatori, che alla fine hanno assunto un hacker adolescente in Gran Bretagna per lanciare una massiccia offensiva per abbattere i sistemi di Spamhaus. Con una velocità di 300 Gbps, questo assalto è stato il più grande attacco DDoS registrato in quel momento. Quando Spamhaus ha risposto alla minaccia rivolgendosi a un servizio di mitigazione DDoS, l’attaccante ha spostato l’attenzione per cercare di abbatterla, il che ha causato interruzioni di rete in tutta la Gran Bretagna e altre aziende sono state prese nel fuoco incrociato.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (dicembre 2012)

Nel settembre e ottobre del 2012, un gruppo che si identifica come “Izz ad-Din al-Qassam Cyber Fighters” ha lanciato diversi attacchi DDoS contro le banche statunitensi, presumibilmente in risposta al trailer di un film controverso su YouTube. Più tardi quell’anno, il gruppo ha promesso di espandere la portata dei suoi attacchi. A dicembre, ha dato seguito a questa promessa colpendo sei importanti banche nel corso di tre giorni, interrompendo i servizi e causando gravi rallentamenti. Mentre l’attacco era più grande di quelli di pochi mesi prima, l’ondata precedente ha lasciato gli esperti di cybersicurezza meglio preparati ad affrontare le tattiche botnet che il gruppo ha schierato. Al suo picco, gli attacchi hanno raggiunto 63,3 Gbps.

Come i recenti attacchi DDoS continuano ad evolversi, gli esperti di sicurezza informatica stanno lavorando duramente per contrastare i loro effetti e diminuire il loro impatto. Mentre un attacco DDoS è ancora qualcosa di cui ogni azienda dovrebbe preoccuparsi, ci sono molti modi per salvaguardare le operazioni contro di loro, dai servizi di mitigazione DDoS alle opzioni di data center come la connettività mista ISP. Questi sforzi potrebbero non essere in grado di rendere gli attacchi DDoS una cosa del passato, ma li stanno rendendo una strategia meno efficace per interrompere le operazioni e i servizi.