7 van de beroemdste recente DDoS-aanvallen

Naarmate meer bedrijven afhankelijk worden van online diensten zoals cloud computing en stappen ondernemen om hun netwerkbeveiliging dienovereenkomstig te verbeteren, zijn DDoS-aanvallen (Distributed Detail of Service) een aantrekkelijker strategie geworden voor hackers die chaos en ontwrichting willen veroorzaken. De recente DDoS-aanvallen, die gemakkelijk te organiseren en uit te voeren zijn, zijn de afgelopen tien jaar steeds geavanceerder en intensiever geworden en vertonen weinig tekenen van vertraging. Hoewel organisaties en datacenters hun cyberbeveiligingsinspanningen hebben opgevoerd om de impact van deze aanvallen te beperken, kunnen ze nog steeds behoorlijk schadelijk zijn voor zowel de bedrijven die het doelwit zijn als de klanten die op hun diensten vertrouwen om zaken te doen.

Hoewel recente DDoS-aanvallen in 2018 licht daalden, was er in het eerste kwartaal van 2019 een toename van 84 procent ten opzichte van het voorgaande jaar. Zowel de omvang als de frequentie van die aanvallen nam toe, waarbij de grootste groei kwam in aanvallen die langer dan een uur duurden. Niet alleen verdubbelden deze aanvallen in hoeveelheid, hun gemiddelde lengte nam ook toe met 487 procent. Nu aanvallen steeds vaker gebruikmaken van meerdere aanvalsvectoren, wenden cyberbeveiligingsdeskundigen zich tot kunstmatige intelligentie en machinaal leren om aanvalspatronen te identificeren en hun DDoS-beperking te versterken.

Quick Links:

• Wat is een DDoS-aanval?
• 7 van de bekendste recente DDoS-aanvallen
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Wat is een DDoS-aanval?

Distributed denial of service attacks zijn een soort cyberaanvallen die servers moeten overbelasten of netwerkdiensten moeten verstoren door ze te overstelpen met toegangsverzoeken. De specifieke methode van deze aanvallen kan per aanval verschillen, maar vaak wordt gebruik gemaakt van botnets.

Wat is een botnet? Het is een gevirtualiseerd “leger” van gecompromitteerde computers en servers die worden gebruikt om een specifiek systeem aan te vallen. De hacker achter de DDoS-aanval stuurt malware naar talrijke systemen en kan, indien succesvol geïnstalleerd, die malware gebruiken om op afstand enkele (of alle) processen van het gecompromitteerde systeem over te nemen om de aanval uit te voeren.

Wat doet een DDoS-aanval en hoe werkt deze? Dat hangt af van het specifieke type DDoS-aanval dat wordt uitgevoerd. Er zijn veel verschillende soorten DDoS-aanvallen, zoals:

• Volumetrische aanvallen. Deze aanvallen zijn erop gericht alle beschikbare bandbreedte op een netwerk te verbruiken, zodat geen legitieme verzoeken meer kunnen worden verwerkt. Een voorbeeld van een volumetrische DDoS-aanval is een DNS-versterkingsaanval.
• TCP Handshake/SYN Floods. Een reeks onvolledige “TCP Handshake” protocolverzoeken voor een initiële verbinding wordt naar het doelsysteem gestuurd, maar nooit voltooid – meestal met gebruikmaking van vervalste IP-adressen. Dit is een voorbeeld van een “protocolaanval”. Hier kunnen gebruikers van een legitieme site die de webpagina proberen te bezoeken, verder bijdragen aan het probleem door op “refresh” te drukken op hun browser om de pagina te laden (hoewel dit meestal slechts een klein percentage is van de belasting in vergelijking met de werkelijke aanval).
• Aanvallen op de toepassingslaag. Deze aanvallen, ook bekend als “DDoS-aanvallen op laag 7”, blijven in feite de server pingen met HTTP-verzoeken – iets dat weinig impact heeft op de verzenders, maar veel middelen vergt van de server, die alle bestanden en databasequery’s moet laden die de website nodig heeft om goed te worden weergegeven.
• DDoS-aanvallen met meerdere vectoren. Soms combineert een aanvaller verschillende DDoS-aanvalsmethoden om zijn aanval effectiever en moeilijker te pareren te maken. Het aanvallen van meerdere lagen van het netwerk kan zeer effectief zijn om de verstoring te vergroten.

Wat het voorkomen van DDoS-aanvallen moeilijk maakt, is dat er zo veel soorten zijn, en sommige zijn moeilijker te scheiden van legitieme verkeersverzoeken dan andere.

7 van de beroemdste recente DDoS-aanvallen

Amazon Web Services (AWS) (februari 2020)

Volgens een artikel van ZDNet, in februari 2020, “zei Amazon dat zijn AWS Shield-service de grootste DDoS-aanval verzachtte die ooit is geregistreerd, door een aanval van 2,3 Tbps te stoppen.” Voorafgaand aan deze aanval, was het wereldrecord voor grootste geregistreerde DDoS-aanval 1,7 Tbps (Terabits per seconde), die zelf het record van de GitHub-aanval verdrong die hieronder zal worden vermeld.

Het ZDNet-artikel noemt niet de naam van de AWS-klant, maar het vermeldde wel dat “de aanval werd uitgevoerd met behulp van gekaapte CLDAP-webservers en veroorzaakte drie dagen van ‘verhoogde dreiging’ voor AWS Shield-medewerkers.” CLDAP staat voor Connection-less Lightweight Directory Access Protocol, wat een protocol is voor het verbinden, doorzoeken en wijzigen van gedeelde directories op het internet.

Het is ook, volgens ZDNet, een protocol dat “sinds eind 2016 is misbruikt voor DDoS-aanvallen” en dat “CLDAP-servers staan erom bekend DDoS-verkeer te versterken met 56 tot 70 keer de oorspronkelijke grootte.”

GitHub (februari, 2018)

Een populaire online codebeheerdienst die door miljoenen ontwikkelaars wordt gebruikt, GitHub is gewend aan veel verkeer en gebruik. Waar het niet op voorbereid was, was de toen recordbrekende 1,3 Tbps aan verkeer die zijn servers elke seconde overspoelde met 126,9 miljoen datapakketten. De aanval was de grootste DDoS-aanval op dat moment, maar de aanval legde de systemen van GitHub slechts ongeveer 20 minuten plat. Dit was grotendeels te danken aan het feit dat GitHub een DDoS-mitigatiedienst gebruikte die de aanval detecteerde en snel stappen ondernam om de impact te minimaliseren.

In tegenstelling tot veel recente DDoS-aanvallen, waren er bij de GitHub-aanval geen botnets betrokken. In plaats daarvan gebruikten de DDoS-aanvallers een strategie die bekend staat als memcaching, waarbij een gespoofed verzoek wordt afgeleverd bij een kwetsbare server die vervolgens een beoogd slachtoffer overspoelt met versterkt verkeer. Memcached-databases worden vaak gebruikt om websites en netwerken te helpen versnellen, maar zijn onlangs als wapen gebruikt door DDoS-aanvallers.

Undisclosed NETSCOUT Client (maart 2018)

Niet lang na de 1,3 Tbps DDoS-aanval tegen GitHub, meldde NETSCOUT dat een van hun klanten het doelwit was van een 1,7 Tbps DDoS-aanval. Deze specifieke aanval werd door NETSCOUT beschreven als zijnde “gebaseerd op dezelfde memcached reflectie/amplificatie aanvalsvector die de Github-aanval gek maakte.”

Ondanks de enorme omvang van de aanval, “werden er geen onderbrekingen gemeld als gevolg hiervan,” volgens NETSCOUT. Dit kan dienen als een voorbeeld van hoe voorbereid zijn op een specifiek type aanval een groot verschil kan maken in de impact van die aanval.

Dyn (oktober, 2016)

Als een belangrijke DNS-provider was Dyn cruciaal voor de netwerkinfrastructuur van verschillende grote bedrijven, waaronder Netflix, PayPal, Visa, Amazon, en The New York Times. Met behulp van malware genaamd Mirai creëerden onbekende hackers een massaal botnet met internet of things (IoT)-apparaten om de op dat moment grootste DDoS-aanval ooit te lanceren. De aanval had enorme gevolgen, aangezien veel van Dyn’s klanten hun websites niet meer konden bereiken door DNS-fouten toen Dyn’s servers uitvielen. Hoewel de problemen aan het eind van de dag waren opgelost en de service was hersteld, was het een beangstigende herinnering aan de kwetsbaarheid van de netwerkinfrastructuur.

BBC (december, 2015)

Op de laatste dag van 2015 lanceerde een groep genaamd “New World Hacking” een 600 Gbps-aanval met behulp van zijn BangStresser-toepassingstool. De aanval legde de sites van de BBC, waaronder haar iPlayer on-demand dienst, ongeveer drie uur plat. Afgezien van de enorme omvang van de aanval, die op dat moment de grootste DDoS-aanval ooit was, was het meest opmerkelijke aspect van de BBC-aanval het feit dat de tool die werd gebruikt om de aanval uit te voeren, gebruik maakte van cloud computing resources van twee Amazon AWS-servers. Voor IT-beveiligingsprofessionals die al lang vertrouwden op de reputatie van Amazon op het gebied van beveiliging, was het bijzonder verontrustend dat DDoS-aanvallers een manier hadden gevonden om de bandbreedte van een openbare cloud computing-dienst te gebruiken voor hun aanval.

Spamhaus (maart, 2013)

In 2013 was Spamhaus een toonaangevende organisatie op het gebied van spamfiltering, die maar liefst 80% van de spamberichten verwijderde. Dit maakte Spamhaus een aantrekkelijk doelwit voor oplichters, die uiteindelijk een Britse tienerhacker inhuurden om een groot offensief te starten om de systemen van Spamhaus uit te schakelen. Met een snelheid van 300 Gbps was deze aanval de grootste DDoS-aanval die op dat moment werd geregistreerd. Toen Spamhaus op de dreiging reageerde door een DDoS-dienst in te schakelen, verlegde de aanvaller zijn aandacht naar een poging om ook Spamhaus plat te leggen, wat netwerkstoringen veroorzaakte in heel Groot-Brittannië toen andere bedrijven in het kruisvuur terecht kwamen.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (december, 2012)

In september en oktober van 2012 lanceerde een groep die zichzelf “Izz ad-Din al-Qassam Cyber Fighters” noemde, verschillende DDoS-aanvallen tegen Amerikaanse banken, naar verluidt als reactie op een controversiële filmtrailer op YouTube. Later dat jaar beloofde de groep de reikwijdte van zijn aanvallen uit te breiden. In december ging de groep door en trof in drie dagen tijd zes vooraanstaande banken, waardoor de dienstverlening werd verstoord en er een ernstige vertraging optrad. Hoewel de aanval groter was dan die van een paar maanden eerder, waren cyberbeveiligingsdeskundigen door de eerdere golf beter voorbereid op de botnet-tactieken die de groep inzette. Op het hoogtepunt bereikten de aanvallen 63,3 Gbps.

Nadat de recente DDoS-aanvallen zich blijven ontwikkelen, werken cyberbeveiligingsdeskundigen hard aan het tegengaan van hun effecten en het verminderen van hun impact. Hoewel een DDoS-aanval nog steeds iets is waar elk bedrijf zich zorgen over moet maken, zijn er veel manieren om activiteiten hiertegen te beschermen, van DDoS-verminderingsdiensten tot datacenteropties zoals blended ISP-connectiviteit. Deze inspanningen kunnen DDoS-aanvallen misschien niet tot het verleden doen behoren, maar ze maken ze wel tot een minder effectieve strategie voor het verstoren van activiteiten en diensten.