7 dintre cele mai faimoase atacuri DDoS recente

Pe măsură ce tot mai multe companii devin dependente de servicii online precum cloud computing și iau măsuri pentru a-și îmbunătăți securitatea rețelei în consecință, atacurile DDoS (distributed detail of service) au devenit o strategie mai atractivă pentru hackerii care caută să creeze haos și perturbări. Ușor de organizat și de executat, atacurile DDoS recente au devenit mai sofisticate și mai intense în ultimul deceniu și dau puține semne de încetinire. Deși organizațiile și centrele de date și-au intensificat eforturile de securitate cibernetică pentru a atenua impactul acestor atacuri, ele pot fi în continuare destul de dăunătoare atât pentru companiile vizate, cât și pentru clienții care se bazează pe serviciile lor pentru a-și desfășura activitatea.

Deși atacurile DDoS recente au scăzut ușor în 2018, în primul trimestru din 2019 s-a înregistrat o creștere de 84% față de anul precedent. Atât dimensiunea, cât și frecvența acestor atacuri au crescut, cea mai mare creștere fiind înregistrată în cazul atacurilor care au durat peste o oră. Nu numai că aceste atacuri s-au dublat din punct de vedere cantitativ, dar și durata medie a acestora a crescut cu 487%. Pe măsură ce atacurile utilizează din ce în ce mai mult mai mulți vectori de atac, experții în securitate cibernetică apelează la inteligența artificială și la învățarea automată pentru a identifica modelele de atac și pentru a-și consolida măsurile de atenuare a atacurilor DDoS.

Legături rapide:

• Ce este un atac DDoS?
• 7 dintre cele mai faimoase atacuri DDoS recente
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Ce este un atac DDoS?

Atacurile distribuite de negare a serviciului sunt un tip de atac cibernetic conceput pentru a supraîncărca serverele sau a întrerupe serviciile de rețea prin copleșirea acestora cu cereri de acces. Metoda specifică a acestor atacuri poate varia de la unul la altul, dar prezintă în mod frecvent utilizarea de rețele botnet.

Ce este o rețea botnet? Este o „armată” virtualizată de calculatoare și servere compromise care sunt folosite pentru a ținti un anumit sistem. Hackerul din spatele atacului DDoS trimite malware către numeroase sisteme și, dacă se instalează cu succes, poate folosi acel malware pentru a prelua de la distanță unele (sau toate) procesele sistemului compromis pentru a efectua atacul.

Ce face un atac DDoS și cum funcționează? Acest lucru depinde de tipul specific de atac DDoS care se desfășoară. Există multe tipuri diferite de atacuri DDoS, cum ar fi:

• Atacuri volumetrice. Aceste atacuri urmăresc să consume toată lățimea de bandă disponibilă pe o rețea, astfel încât nicio cerere legitimă nu poate fi procesată. Un exemplu de atac DDoS volumetric ar fi un atac de amplificare DNS.
• TCP Handshake/SYN Floods. O serie de solicitări incomplete ale protocolului „TCP Handshake” pentru o conexiune inițială sunt trimise către sistemul țintă, dar nu sunt niciodată finalizate – de obicei folosind adrese IP falsificate. Acesta este un exemplu de „atac de protocol”. În acest caz, utilizatorii legitimi ai site-ului care încearcă să viziteze pagina web pot contribui și mai mult la problemă, deoarece apasă „refresh” pe browserele lor pentru ca pagina să se încarce (deși, de obicei, acesta este doar un procent infim din sarcină în comparație cu atacul propriu-zis).
• Atacuri la nivelul aplicațiilor. Cunoscute și sub numele de „atacuri DDoS de nivel 7”, aceste atacuri, practic, continuă să trimită serverului solicitări HTTP – ceva cu impact redus pentru expeditori, dar cu un consum intensiv de resurse pentru serverul care trebuie să încarce toate fișierele și interogările bazei de date de care are nevoie site-ul web pentru a se afișa corect.
• Atacuri DDoS multi-vectoriale. Uneori, un atacator poate combina mai multe metode de atac DDoS pentru a-și face atacul mai eficient și mai greu de contracarat. Țintirea mai multor straturi ale rețelei poate fi extrem de eficientă pentru a spori perturbarea.

Ceea ce face dificilă prevenirea atacurilor DDoS este faptul că există atât de multe tipuri de astfel de atacuri, iar unele sunt mai greu de separat de solicitările legitime de trafic decât altele.

7 dintre cele mai faimoase atacuri DDoS recente

Amazon Web Services (AWS) (februarie 2020)

Potrivit unui articol publicat de ZDNet, în februarie 2020, „Amazon a declarat că serviciul său AWS Shield a atenuat cel mai mare atac DDoS înregistrat vreodată, oprind un atac de 2,3 Tbps”. Înainte de acest atac, recordul mondial pentru cel mai mare atac DDoS înregistrat era de 1,7 Tbps (Terabiți pe secundă), care la rândul său a suplinit recordul stabilit de atacul GitHub care va fi menționat mai jos.

Articolul ZDNet nu menționează numele clientului AWS, dar a menționat că „atacul a fost efectuat folosind servere web CLDAP deturnate și a cauzat trei zile de „amenințare ridicată” pentru personalul AWS Shield”. CLDAP este acronimul de la Connection-less Lightweight Directory Access Protocol, care este un protocol de conectare, căutare și modificare a directoarelor partajate pe internet.

Este, de asemenea, potrivit ZDNet, un protocol care „a fost folosit în mod abuziv pentru atacuri DDoS de la sfârșitul anului 2016” și despre care se știe că „serverele CLDAP amplifică traficul DDoS de 56 până la 70 de ori mai mare decât dimensiunea sa inițială.”

GitHub (februarie, 2018)

Serviciu popular de gestionare a codurilor online utilizat de milioane de dezvoltatori, GitHub este obișnuit cu un trafic și o utilizare ridicată. Pentru ceea ce nu a fost pregătit a fost traficul record de atunci, de 1,3 Tbps, care i-a inundat serverele cu 126,9 milioane de pachete de date în fiecare secundă. Atacul a fost cel mai mare atac DDoS înregistrat la acel moment, dar atacul a dus la căderea sistemelor GitHub doar pentru aproximativ 20 de minute. Acest lucru s-a datorat în mare parte faptului că GitHub a utilizat un serviciu de atenuare DDoS care a detectat atacul și a luat rapid măsuri pentru a minimiza impactul.

În comparație cu multe atacuri DDoS recente, atacul GitHub nu a implicat botnet-uri. În schimb, atacatorii DDoS au folosit o strategie cunoscută sub numele de memcaching, în care o cerere falsificată este livrată unui server vulnerabil care apoi inundă o victimă vizată cu trafic amplificat. Bazele de date memcached sunt utilizate în mod obișnuit pentru a ajuta la accelerarea site-urilor web și a rețelelor, dar au fost recent transformate în arme de către atacatorii DDoS.

Client NETSCOUT nedivulgat (martie 2018)

La scurt timp după atacul DDoS de 1,3 Tbps împotriva GitHub, NETSCOUT a raportat că unul dintre clienții săi a fost vizat de un atac DDoS de 1,7 Tbps. Acest atac special a fost descris de NETSCOUT ca fiind „bazat pe același vector de atac de reflexie/amplificare memcached care a înnebunit atacul Github.”

Cu toate acestea, în ciuda dimensiunii masive a atacului, „nu au fost raportate întreruperi din această cauză”, potrivit NETSCOUT. Acest lucru poate servi drept exemplu al modului în care a fi pregătit pentru un anumit tip de atac poate face o diferență majoră în ceea ce privește impactul atacului respectiv.

Dyn (octombrie, 2016)

În calitate de furnizor important de DNS, Dyn a fost crucial pentru infrastructura de rețea a mai multor companii importante, inclusiv Netflix, PayPal, Visa, Amazon și The New York Times. Folosind un malware numit Mirai, hackeri neidentificați au creat o rețea botnet masivă care încorporează dispozitive de tip internet of things (IoT) pentru a lansa ceea ce a fost, la momentul respectiv, cel mai mare atac DDoS înregistrat. Atacul a avut efecte masive, deoarece mulți dintre clienții Dyn și-au văzut site-urile web paralizate de erori DNS atunci când serverele Dyn au căzut. Deși problemele au fost rezolvate și serviciile au fost restabilite până la sfârșitul zilei, a fost o reamintire înspăimântătoare a fragilității infrastructurii de rețea.

BBC (decembrie, 2015)

În ultima zi a anului 2015, un grup numit „New World Hacking” a lansat un atac de 600 Gbps folosind instrumentul său de aplicații BangStresser. Atacul a făcut ca site-urile BBC, inclusiv serviciul la cerere iPlayer, să nu funcționeze timp de aproximativ trei ore. În afară de dimensiunea sa, care a fost cel mai mare atac DDoS înregistrat la acel moment, cel mai notabil aspect al atacului BBC a fost faptul că instrumentul folosit pentru a-l lansa a utilizat de fapt resurse de cloud computing de pe două servere Amazon AWS. Pentru profesioniștii din domeniul securității IT care aveau de mult timp încredere în reputația de securitate a Amazon, ideea că atacatorii DDoS au găsit o modalitate de a profita de lățimea de bandă a unui serviciu public de cloud computing pentru a-și alimenta asaltul a fost deosebit de îngrijorătoare.

Spamhaus (martie, 2013)

În 2013, Spamhaus era o organizație de filtrare a spam-ului lider în industrie, eliminând până la 80% din e-mailurile spam. Acest lucru i-a transformat într-o țintă atractivă pentru escroci, care, în cele din urmă, au angajat un hacker adolescent din Marea Britanie să lanseze o ofensivă masivă pentru a doborî sistemele Spamhaus. Cu o viteză de 300 Gbps, acest asalt a fost cel mai mare atac DDoS înregistrat la acel moment. Când Spamhaus a reacționat la amenințare apelând la un serviciu de atenuare DDoS, atacatorul și-a mutat atenția pentru a încerca să o doboare și pe aceasta, ceea ce a provocat întreruperi de rețea în toată Marea Britanie, în timp ce alte companii au fost prinse în focul încrucișat.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (decembrie, 2012)

În septembrie și octombrie 2012, un grup care se identifica drept „Izz ad-Din al-Qassam Cyber Fighters” a lansat mai multe atacuri DDoS împotriva băncilor din SUA, se presupune că a fost un răspuns la un trailer de film controversat de pe YouTube. Mai târziu, în același an, grupul a promis că va extinde domeniul de aplicare al atacurilor sale. În decembrie, a trecut la fapte și a atacat șase bănci importante în decurs de trei zile, perturbând serviciile și provocând încetiniri grave. Deși atacul a fost mai mare decât cele de câteva luni înainte, valul anterior i-a lăsat pe experții în securitate cibernetică mai bine pregătiți pentru a face față tacticilor de botnet pe care le-a desfășurat grupul. La apogeu, atacurile au atins 63,3 Gbps.

În timp ce atacurile DDoS recente continuă să evolueze, experții în securitate cibernetică depun eforturi susținute pentru a le contracara efectele și a le diminua impactul. În timp ce un atac DDoS este în continuare ceva de care orice companie ar trebui să fie îngrijorată, există multe modalități de protejare a operațiunilor împotriva acestora, de la servicii de atenuare DDoS la opțiuni pentru centrele de date, cum ar fi conectivitatea mixtă a ISP-urilor. Este posibil ca aceste eforturi să nu reușească să facă din atacurile DDoS un lucru de domeniul trecutului, dar le fac să devină o strategie mai puțin eficientă pentru întreruperea operațiunilor și serviciilor.

.