Cloudflare signale une « augmentation alarmante » de la sophistication DDoS, une escalade ces derniers mois. La guerre RussoUkrainienne n’y serait pas pour rien !
Les attaques utilisées pour rendre les sites Web et les services Web inaccessibles évoluent et deviennent de plus en plus préoccupantes, a déclaré la société Cloudflare. Le deuxième trimestre de 2023 a vu « une escalade alarmante dans la sophistication » des attaques par déni de service distribuées DDoS, affirme le fournisseur de solution web, soulignant une prolifération d’attaques numériques plus ciblées conçues pour perturber des sites Web et d’autres services connectés.
La société a déclaré dans son rapport sur les menaces du deuxième trimestre qu’elle avait suivi des milliers d’attaques lancées par un consortium de groupes hacktivistes pro-russes, une augmentation des attaques ciblées sur le système de noms de domaine et un 600 % d’augmentation des attaques DDoS sur les sites Web de crypto-monnaie.
Bien que les attaques DDoS soient parfois considérées comme peu sophistiquées et plus gênantes qu’autre chose, elles peuvent être très perturbatrices. « La récupération d’une attaque DDoS peut durer beaucoup plus longtemps que l’attaque elle-même – tout comme un boxeur peut avoir besoin d’un certain temps pour se remettre d’un coup de poing au visage qui ne dure qu’une fraction de seconde« , ont écrit Omer Yoachimik et Jorge Pacheco. Une intensité, en particulier concernant les menaces dans le contexte de la guerre russe contre l’Ukraine.
Les machines virtuelles basées sur le cloud et les serveurs privés virtuels permettent des attaques plus importantes dans le cadre d’une « nouvelle génération de botnets« . Ces nouveaux botnets sont capables de fournir des milliers de fois plus de trafic que les réseaux traditionnels. Pour rappel, en février, une telle attaque a produit la plus grande attaque DDoS jamais enregistrée.
Parmi les développements préoccupants au cours des trois derniers mois, figure l’augmentation de 15 % des attaques HTTP DDoS , qui ciblent les sites Web et les passerelles tierces vers ces sites, alors même que ce type d’attaque a diminué d’année en année.
« Il semble que les acteurs de la menace derrière ces attaques aient délibérément conçu les attaques pour essayer de surmonter les systèmes d’atténuation en imitant habilement le comportement du navigateur de manière très précise, dans certains cas, en introduisant un degré élevé de randomisation sur diverses propriétés telles que les agents utilisateurs et JA3 empreintes digitales pour n’en nommer que quelques-unes, ont écrit les auteurs. Dans bon nombre de ces attaques, il semble que les acteurs de la menace essaient de maintenir leur taux d’attaque par seconde relativement bas pour essayer d’éviter la détection et de se cacher parmi le trafic légitime.«
Microsoft a subi une telle attaque début juin dans le cadre d’un assaut plus large contre l’entreprise attribué à un groupe qu’il appelle Storm-1359, ou plus largement Anonymous Sudan. Le groupe est affilié à plusieurs réseaux d’hacktivistes pro-russes, dont Killnet, UserSec, et pourrait lui-même être un produit direct ou un groupe travaillant en collaboration avec les intérêts du gouvernement russe.
Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.
Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.
En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.
Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.
« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.
La stratégie malveillante évolue
Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.
De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.
Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.
Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.
D’après le rapport IDC Global DNS Threat Report 2022, les attaques par phishing ont représenté 44% des attaques subies par les entreprises françaises tandis que les DDoS ont vu leur part croître de près de 11 points pour s’établir à 33%.
EfficientIP, entreprise hexagonale spécialisée dans l’automatisation du DDI (DNS, DHCP, IPAM), présente le Top 5 des attaques visant ou utilisant le DNS comme vecteur qui ont frappé les entreprises françaises en 2022. D’après le Global DNS Threat Report 2022, les hackers se sont ainsi concentrés sur les attaques par phishing, les malware basées sur le DNS, le DDoS, le DNS Hijacking et enfin l’abus des mauvaises configurations DNS au niveau du cloud. Parmi celles-ci, les attaques DDoS ont été en forte augmentation, boostées par le contexte de tensions internationales extrêmes.
Phishing
Aujourd’hui le phishing est la menace numéro 1 qui pèse sur le DNS. Ce mode opérationnel a représenté 44% des attaques subies par les entreprises françaises interrogées dans le cadre du DNS Threat Report. Les hackers se font passer pour un organisme connu (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme pour inciter les utilisateurs à cliquer sur des liens frauduleux. L’usage de liens trompeurs et corrompus est ainsi le principal vecteur d’attaque utilisé par les hackers pour compromettre les DNS.
DNS based malwares
En deuxième position, les attaques DNS basées sur des Malwares ont quant à elles progressé de 8 points par rapport à 2021 pour représenter 40% des tentatives de compromissions qui ont visé les entreprises françaises en 2022. Pour ces attaques, les hackers tentent d’installer des virus au niveau du serveur DNS pour atteindre plusieurs objectifs. Ils peuvent par exemple altérer les configurations TCP/IP pour rediriger les utilisateurs vers des noms de domaine frauduleux, ou alors s’appuyer sur cette porte d’entrée pour exfiltrer les données qui circulent via le DNS.
DDoS
En troisième place, les DDoS ont vu leur part exploser et prendre 11 points pour représenter 33% des attaques subies par les entreprises en 2022. Le but de ces attaques est toujours le même, à savoir rendre impossible le fonctionnement du DNS en le saturant de requêtes et ainsi empêcher les entreprises de fonctionner. Dans un climat international tendu, ces attaques visant plus à mettre hors service ont été largement privilégiées aux ransomwares ayant des visées plus pécuniaires pour les hackers.
DNS Hijacking
Quatrième, le DNS hijacking – aussi appelé « redirection DNS » ou « attaque DNS » représente quant à lui 25% des attaques qui ont frappé les entreprises françaises, soit 8 points de plus que l’an passé. Ces attaques visent principalement deux niveaux de l’ensemble du système : le registre qui contrôle la liste des noms de domaine, et le serveur DNS qui gère les enregistrements techniques. Dans les deux cas l’objectif est de détourner, d’une manière ou d’une autre, les fonctionnalités du serveur de domaine des entreprises, soit pour rediriger les utilisateurs vers des domaines frauduleux, soit pour exfiltrer des données.
Abus des mauvaises configurations cloud
Enfin, la cinquième attaque la plus représentée en France avec 22% est l’abus des mauvaises configurations au niveau du cloud. Ces attaques exploitent les failles les erreurs de configuration au niveau du DNS et qui permettent aux hackers de mettre en place des redirections frauduleuses. Il est important de noter que ces attaques touchent aussi bien des entreprises que les grands hyperscalers.
« Ces attaques, leur variété, leur nombre et l’impact qu’elles ont sur les entreprises, aussi bien financier qu’au niveau de la réputation, montrent que la sécurité du DNS doit devenir une priorité absolue des entreprises. Il s’agit d’un organe central et vital qui représente bien trop d’opportunités pour les hackers s’il est mal protégé, » détaille Ronan David, directeur de la stratégie et cofondateur d’EfficientIP. « L’intégration de solutions de sécurité au niveau du serveur de noms de domaine permet non seulement de protéger celui-ci, mais aussi de renforcer la protection de tous les utilisateurs et des outils de l’entreprise.«
Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !
La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.
Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.
« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »
Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.
Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.
Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.
Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.
Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.
Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.
Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).
L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).
Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’internet, présente son rapport sur les attaques DDoS du 4ème trimestre 2021. Un palmarès qui souligne l’importance de la fortification des cyberattaques. La découverte, en décembre, de la vulnérabilité Log4, considérée comme l’une des plus importante et dangereuse en est la preuve.
Le secteur industriel plus que jamais menacé : Pour la première fois, l’industrie arrive en tête des secteurs les plus attaqués. Au dernier trimestre 2021, Cloudflare enregistrait une hausse de 641% du nombre d’attaques par rapport au trimestre précédent. Ces menaces viennent affaiblir un secteur déjà très affecté par la pénurie de matières premières et des difficultés de livraison qui l’empêchent de répondre à la demande croissante. En deuxième et troisième position, on retrouve respectivement les services aux entreprises et le secteur du gaming.
Les ransomwares continuent de progresser : Alors que le botnet Meris était en première ligne au trimestre précédent, la fin de l’année a vu le nombre de ransomwares augmenter de 175%. Dans une enquête réalisée par Cloudflare, 22% des répondants affirmaient avoir reçu une demande de rançon.
Une attaque de 2 Tbps déjouée : En novembre dernier, Cloudflare a subi une tentative d’attaque qui, à son plus haut pic, enregistrait de 2 Tbps. A ce jour, il s’agit de l’attaque la plus puissante ayant ciblée l’entreprise et ce, alors qu’elle n’a duré qu’une minute.
Les tendances des attaques DDoS au dernier trimestre de 2020 ont défié les normes à bien des égards. Pour la première fois en 2020, il a été observé une augmentation du nombre d’attaques DDoS. Le nombre d’attaques de plus de 500 Mbps et 50 000 pps a connu une augmentation massive.
En outre, les vecteurs d’attaque ont continué d’évoluer, les attaques basées sur des protocoles ayant augmenté de 3 à 10 fois par rapport au trimestre précédent confirme Cloudflare. Les assaillants ont également été plus persistants que jamais – près de 9% de toutes les attaques observées entre octobre et décembre 2020 ont duré plus de 24 heures.
Pour la première fois en 2020, le nombre total d’attaques observées au quatrième trimestre a diminué par rapport au trimestre précédent. 73% de toutes les attaques observées ont duré moins d’une heure, contre 88% au troisième trimestre. Alors que les inondations SYN, ACK et RST ont continué à être les principaux vecteurs d’attaque déployés, les attaques sur NetBIOS ont connu une augmentation considérable de 5 400%, suivies de celles sur ISAKMP et SPSS.
Les centres de données de Cloudflare basés à Maurice, en Roumanie et au Brunei ont enregistré les pourcentages les plus élevés d’activité DDoS par rapport au trafic normal. Les attaques par rançon DDoS (RDDoS) continuent de cibler des organisations du monde entier alors que des groupes criminels tentent d’extorquer une rançon sous la forme de Bitcoin sous la menace d’une attaque DDoS comme expliqué dans un article de ZATAZ, en mai 2016 et octobre 2020.
Les réseaux de diffusion de contenu, les Content Delivery Network (CDN) ont été conçus pour optimiser les performances en matière de distribution de contenus sur Internet et pour optimiser les coûts de bande passante pour celui qui produit ce contenu, afin de faire face à des demandes de plus en plus nombreuses, et à une volumétrie de données à fournir, en forte croissance. Nous entendons souvent l’argument que la protection contre les attaques DDoS fournie par un CDN est LA solution permettant de se protéger : Voyons sur quoi se base cet argument.
En simplifiant, un CDN est constitué d’un ensemble de serveurs interconnectés, largement distribués du point de vue géographique et mais aussi logique au sein du maillage de l’Internet. Le CDN utilise ces serveurs distribués pour cacher le contenu de leurs clients et le diffuser à leurs utilisateurs. Une utilisation astucieuse du routage permet de s’appuyer sur les « caches » les plus proches de chaque client, permettant une livraison plus rapide du contenu, et d’éviter ainsi de consommer des ressources – y compris la bande passante – du serveur d’origine hébergeant le contenu original.
Quand un client demande une première fois une ressource – une image ou une page web, le CDN doit chercher ce contenu auprès du serveur d’origine pour servir le client. Par contre, à partir de ce moment, la ressource reste « en cache », distribuée au sein du CDN, afin de servir toute nouvelle demande, par n’importe quel client, à partir de ces caches.
Les CDN cachent typiquement le contenu statique, qui ne change pas, comme justement les images d’un site web. Cependant, les CDN ne peuvent pas ou sont plus limités en leur capacité de cacher du contenu dynamique, comme les informations concernant les stocks et les commandes d’un site de vente.
Le contenu dynamique typiquement hébergé par le site d’origine. Le site d’origine sollicité, non pas par ses utilisateurs, mais par le CDN, d’une part pour du contenu statique pas encore caché et d’autre part pour le contenu dynamique, qui ne peut pas être caché.
CDN ET PROTECTION CONTRE LES ATTAQUES DDOS
De par sa nature, le CDN dispose des mécanismes qui peuvent être utiles en face d’attaques par déni de service distribuée. Par exemple, un CDN dispose souvent de ressources importantes en termes de capacité réseau et de serveurs, lui permettant souvent tout simplement d’absorber une quantité plus importante de requêtes que le serveur d’origine.
De plus, par les mêmes mécanismes de distribution et de routage qui lui permettent de distribuer la charge des utilisateurs, les attaques distribuées amenées à viser non plus une cible unique, mais une cible distribuée en fonction de la localisation de chaque source d’attaque.
« THE DEVIL IS IN THE DETAILS »
Par contre, malgré ces couches de protection utiles, le fonctionnement même d’un CDN peut ouvrir de nouveaux vecteurs d’attaque ou rendre la défense du serveur d’origine plus
difficile. Par exemple, si une attaque, faisant usage d’un botnet, sollicite un site web pour des ressources non-existantes, et donc non-cachées, cela peut amener le CDN à solliciter à son tour le serveur d’origine à répétition pour ces ressources et provoquer une condition de déni de service pour le serveur d’origine.
En plus, l’attaque vue par le serveur d’origine semble provenir du CDN lui même ! Dans cette situation, il peut être difficile au serveur d’origine de se protéger car le CDN est en même temps l’origine de l’attaque et des requêtes légitimes: Des approches simples s’appuyant sur le blacklisting des sources au niveau du serveur d’origine ne peuvent plus être utilisées dans ce cas.
D’autre part, il ne faut pas oublier que les protections fournies par le CDN ne couvrent que le contenu caché. Le serveur d’origine, ainsi que plus généralement, l’entreprise à qui le site appartient, aura probablement besoin d’une connectivité fonctionnelle. Au-delà du serveur d’origine qui doit pouvoir fournir le contenu non-caché et dynamique pour le CDN, le service aura peut-être besoin d’interagir avec d’autres sites, l’entreprise de pouvoir envoyer et réceptionner des emails, ses équipes d’accéder aux services de Voix sur IP ou de se connecter à Internet d’une manière générale pour accéder à des services cloud comme Google GSuite ou Microsoft Office 365.
Tout cela nécessite que des services on-site ou à minima l’accès Internet de l’entreprise, qui ne peuvent pas être protégés par un CDN, continuent à fonctionner.
Protections de type volumétriques
De plus, en fonction du CDN, les protections fournies limitées aux protections de type volumétriques, alors que des attaques applicatives plus sophistiquées risquent de traverser le CDN et d’atteindre le site d’origine. En somme, la situation est souvent bien plus complexe qu’imaginée au premier abord.
Premièrement, il est important de bien comprendre le fonctionnement, pas seulement de son site Internet, mais de son entreprise dans sa globalité et d’effectuer une analyse de risque pour identifier les différentes menaces. Ensuite, selon les risques impliquant la disponibilité et/ou la qualité de service des communications, des services réseau et/ou des applications, il peut être utile de s’appuyer sur des fonctionnalités de protection fournies par son CDN – potentiellement plus capables pour des grosses attaques volumétriques – ou utiliser des protections plutôt de type « On-Premise », potentiellement plus précises et capables pour des attaques applicatives.
Souvent une protection optimale implique une protection hybride, combinant la précision et rapidité d’une solution « On-Premise », avec des capacités volumétriques suffisamment élevés proposées par un fournisseur de service de mitigation.
Dans certains cas le CDN peut-être un composant adapté, dans d’autres vous aurez besoin d’une capacité de protection volumétrique importante capable aussi à protéger votre site local. (Par Jouni Viinikka, Directeur R&D chez 6cure ; Frédéric Coiffier, Ingénieur Développement Logiciel chez 6cure)
Le rapport sur les attaques DDoS pour le 4ème trimestre, englobant les statistiques du dernier trimestre mais aussi l’ensemble de l’année 2018, met en lumière un recul de 13 % du nombre total d’attaques DdoS par rapport à l’année précédente. Cependant, la durée des assauts mixtes et de type Flood HTTP va croissant, ce qui semble indiquer que les cybercriminels se tournent vers des techniques d’attaque DdoS plus élaborées.
Le faible coût des services DDoS à louer fait de ce type d’attaque l’une des cyber-armes les plus abordables. Les entreprises, quel que soit leur taille ou leur secteur d’activité, peuvent être confrontées à cette menace et subir des pertes de revenus et de réputation dans le cas où leurs utilisateurs légitimes et leurs clients sont dans l’impossibilité d’accéder aux ressources web de la société.
Bien que la quantité d’attaques DDoS ait reculé en 2018, il est trop tôt pour s’en réjouir car cette baisse en nombre ne signifie pas pour autant que les assauts sont moins graves. Selon les chercheurs de Kaspersky Lab, alors que les entreprises sont de plus en plus nombreuses à adopter des solutions pour se protéger des formes d’attaques DDoS élémentaires, il est probable qu’en 2019 les assaillants vont améliorer leurs compétences afin de contourner les mesures de protection DDoS standard et franchir un nouveau palier en termes de sophistication.
Moins d’attaques, mais plus puissantes
En dépit de la diminution du nombre des attaques, l’analyse des experts de Kaspersky Lab révèle que leur durée moyenne est en hausse. Comparée au début de l’année 2018, la longueur moyenne d’un assaut a plus que doublé, passant de 95 minutes au premier trimestre à 218 minutes au quatrième. Il est à noter que les attaques Flood UDP (qui consistent à saturer les ports du serveur cible avec une masse de paquets UDP afin de le rendre inaccessible aux utilisateurs), lesquelles ont représenté près de la moitié (49 %) des assauts DDoS en 2018, ont été très courtes, dépassant rarement 5 minutes.
Selon les experts de Kaspersky Lab, la brièveté des attaques Flood UDP illustre un rétrécissement du marché pour les assauts plus faciles à organiser. La protection contre les attaques DDoS de ce type est désormais largement mise en place, rendant celles-ci inefficaces dans la plupart des cas. Les chercheurs avancent que les attaquants lancent de nombreux assauts Flood UDP afin de tester la protection d’une ressource ciblée. S’il est immédiatement clair que ces tentatives sont vouées à l’échec, leurs auteurs n’insistent pas.
Dans le même temps, les attaques plus complexes (détournement de HTTP, par exemple) qui nécessitent un investissement en temps et en argent, vont conserver une longue durée. Comme le révèle l’étude, la méthode Flood HTTP et les attaques mixtes comprenant une composante HTTP, dont la proportion est relativement faible (respectivement 17 % et 14 %), représentent environ 80 % de la durée totale des attaques DDoS sur l’ensemble de l’année.
DDoS au cryptominage
« Lorsque les attaques DDoS les plus simples n’atteignent pas leur objectif, ceux qui en tirent profit ont le choix entre deux solutions. Soit ils peuvent reconfigurer les capacités requises pour ces assauts afin de les réorienter vers d’autres sources de revenus, telles que le cryptominage. Soit ils doivent améliorer leurs compétences techniques, faute de quoi leurs commanditaires s’adresseront à des cybercriminels plus chevronnés. Compte tenu de cela, nous pouvons nous attendre à une évolution des attaques DDoS en 2019 et il deviendra plus difficile pour les entreprises de les détecter et de s’en protéger », commente Alexey Kiselev, responsable du développement pour l’équipe de protection DDoS de Kaspersky Lab.
Concernant les résultats du dernier trimestre 2018, la plus longue attaque DDoS observée au cours de cette période a duré 329 heures (près de 14 jours). Il faut remonter à la fin de 2015 pour retrouver une telle durée.
Les trois pays à l’origine du plus grand nombre d’attaques DDoS restent inchangés. La Chine vient une fois encore au premier rang, même si sa part a chuté de 77,67 % à 50,43 %, toujours suivie des Etats-Unis et de l’Australie.
Pour ce qui est de la répartition des cibles, la Chine demeure en tête de liste, mais avec une part là aussi en recul à 43,26 % (contre 70,58 % au troisième trimestre 2018).
Au quatrième trimestre, il faut également noter des changements dans les pays hébergeant le plus de serveurs de commande et contrôle (C&C). Comme au trimestre précédent, les Etats-Unis conservent la première place mais ce sont à présent le Royaume-Uni et les Pays-Bas qui arrivent en deuxième et troisième position, remplaçant respectivement la Russie et la Grèce, sans doute en raison d’une nette augmentation du nombre de serveurs C&C actifs du botnet Mirai dans ces deux pays.
Un internaute de 34 ans condamné à 10 ans de prison pour avoir lancé des attaques de DDoS, sous le masque Anonymous. Ils voulaient punir des centres de soins américains.
Dix ans de prison pour un DDoS critique ! Toute l’affaire débute en avril 2014. Un internaute, s’annonçant comme membre Anonymous, lance plusieurs attaques informatiques de type DDoS. Des Dénis Distribués de Services à l’encontre du Boston Children’s Hospital et du Wayside Youth Family Support.
L’Anonymous voulait soutenir une jeune fille, Justina Pelletier. Cette dernière, par décision médicale, avait été séparée de ses parents.
Bilan, une opération Anonymous s’organise, la #OpJustina.
Plusieurs internautes participent à « l’op », dont Martin Gottesfeld.
10 ans de prison !
40 000 routeurs, via un bot, utilisés pour lancer ce DDoS.
Reconnu coupable en août 2018, il écope aujourd’hui de 443 000 dollars de dommages et intérêts et 10 ans de prison.
L’attaque a été si puissante que l’hôpital de Boston mettra deux semaines pour relancer ses services. Un DDoS qui impactera, sans que cela soit prévu par le pirate, plusieurs autres hôpitaux de la région.
Attaques DDoS ! 31% des attaques au premier semestre 2016 atteignaient ou dépassaient 50Gbps, une mesure atteignant même dans certains cas 58,8 Gpbs. La plus forte du premier semestre 2015 était de 21 Gbps.
CDNetworks, fournisseur international de CDN et de Cloud Security, a dernièrement présenté ses observations liées aux attaques DDoS constatées sur ses serveurs et les résultats d’une étude réalisée auprès de 300 entreprises dans plusieurs pays européens. Pour l’entreprise, selon ses propres données, la grande tendance est à l’augmentation de la taille des attaques. CDNetworks rappelle qu’en 2014, les attaques DDoS ont augmenté en nombre.
Une hausse de 29%, en partie due à un ciblage du marché des jeux en ligne. En 2015, ces attaques ont été 200% plus nombreuses. Le secteur public et les services financiers rejoignant les jeux en ligne parmi les cibles privilégiées. En 2016, c’est la taille des attaques DDoS qui a explosé. L’attaque la plus importante du 1er semestre 2015 était de 21 Gigabits par seconde (Gbps).
Au 1er semestre 2016, une attaque atteignait 58,8 Gbps. Presque trois fois plus forte. De plus, sur ce 1er semestre 2016, 31% des attaques DDoS mesuraient 50 Gbps ou plus. Des tailles jamais atteintes un an plus tôt. Fin 2016, CDNetworks a vu une attaque DDoS géante dépasser 1 Térabit par seconde !
Montée en puissance des attaques DDoS
Face à cette montée en puissance des attaques DDoS, CDNetworks a voulu savoir comment les entreprises de plusieurs pays européens se préparaient en amont, à ce risque d’attaque, et a interrogé 300 entreprises.
Le constat est que les organisations se préparent. Le budget annuel moyen alloué à l’atténuation des attaques DDoS dépasse 27 000 euros. Près de la moitié (47%) des entreprises interrogées dépensant entre 17 000 et 45 000 euros et 20% d’entre elles allouant un budget supérieur. 29% allouent un budget variant entre 5600 et 17 000 euros. Seules 4% dépensent moins de 5600 euros par an.
9% des entreprises interrogées pensent investir pour la première fois dans les 12 prochains mois dans ce genre de protection. 64% pensent augmenter leurs dépenses dans de nouvelles technologies d’atténuation d’attaque DDoS. 25% y alloueront le même budget.
Cyberattaque d’octobre 2016
La grosse cyberattaque d’octobre 2016 contre Dyn impactant Twitter ou CNN a éveillé les consciences. 79% des personnes interrogées pensent pouvoir être la cible d’une attaque de manière probable ou presque certaine dans les 12 prochains mois. Les prévisions de budgets se répartissent entre l’atténuation managée d’attaques DDoS, la prévention DDoS couplée à un Web Application Firewall (WAF), les technologies libre-service d’atténuation, les audits de sécurité et la protection manuelle, cette dernière étant le premier choix pour les entreprises qui vont s’y mettre pour la première fois, ainsi que pour les sociétés ayant investi pour la première fois un an auparavant, associé à la réalisation d’un audit, ou encore pour les sociétés ayant investi il y a plus de 5 ans.
Face à ces investissements pour se protéger, 51% des sociétés estiment que leurs efforts sont suffisants, 44% pensent qu’elles ont sous-évalué le risque et voudraient pouvoir investir davantage dans la protection DDoS avec un WAF (48%), l’atténuation managée des attaques DDoS (43%), les technologies en libre-service (40%), la protection de plus de domaines (34%), la protection manuelle (30%)… La protection DDoS avec un WAF recueille les suffrages des dirigeants de l’entreprise et des administrateurs IT, les premiers voyant également d’un bon œil les technologies en libre-service, les seconds le passage du libre-service à un service managé. Quant aux Directeurs et Chefs de départements, la moitié d’entre eux aimerait investir davantage dans l’atténuation managée des attaques DDoS.
14% de sociétés n’ont pas subi d’attaque DDoS
Parmi les 300 sociétés constituant le panel interrogé, seules 14% n’ont pas subi d’attaque DDoS durant les 12 derniers mois. En moyenne, les autres ont recensé 6 attaques sur l’année. 8% ont subi plus de 50 attaques en un an. Toutes ces attaques n’ont pas forcément abouti, 64% des entreprises interrogées auraient subi au moins une attaque DDoS en partie réussie ces 12 derniers mois, trois par an en moyenne par entreprise.
La seconde extension de Final Fantasy 14, Stormblood, était attendue par tous les « afficionados » du célèbre jeu sur Playstation 4, Mac et PC. Un lancement qui a été perturbé par une série d’attaques par déni de service.
Le 20 juin 2017 sortait la seconde extension de Final Fantasy 14, Stormblood. Des pirates ont tenté de perturber ce lancement par un déni distribué de service (DDoS). « Aujourd’hui, les botnets comme celui qui a affecté les serveurs du jeu Final Fantasy 14 n’ont pas de limites. Chaque imprimante, console de jeux ainsi que n’importe quel appareil connecté à internet peut être utilisé par un botnet pour lancer une attaque par déni de service (DDoS). confirme Jean- Baptiste Souvestre, Software Engineer, chez Avast. Jusqu’à présent, les cybercriminels ont seulement pu exploiter cette méthode pour paralyser ou prendre le contrôle de sites internet, des actions ennuyeuses mais sans mise en danger vital. En ce qui concerne les conséquences sur Final Fantasy, les attaques DDoS en particulier n’entrainent pas de perte de données relatives aux personnages ou bien au profil de l’utilisateur mais elles peuvent nuire à la performance et à l’expérience de jeu ».
En réalité, le pouvoir de ce type de piratage ne cessera d’augmenter. A l’avenir, nous pourrions voir de nombreuses attaques entièrement autonomes et basées sur l’intelligence artificielle qui opèreront de façon indépendante, sauront s’adapter pour échapper aux outils de détection, et prendront les décisions seules, exposant ainsi les services digitaux et les infrastructures web à des risques encore plus importants.
C’est pourquoi nous devons tous nous montrer responsables en prenant des mesures proactives pour protéger nos systèmes et équipements, quelle que soit l’activité à partir du moment où nous sommes connectés à internet. Cela passe notamment par l’utilisation de mots de passe forts et uniques, mais également par l’installation de solutions de sécurité afin de prévenir toute attaque. En outre, la mise en place d’un anti-malware fait partie des bonnes pratiques à adopter, à la fois par les particuliers et les entreprises. Enfin, dès lors qu’un utilisateur soupçonne qu’une attaque est en cours au cœur de ses appareils, il doit contacter son fournisseur d’accès à internet afin que ce dernier puisse analyser immédiatement si tout est normal sur le réseau ou bien si un hacker est parvenu à s’infiltrer. Si tel est le cas, les mesures nécessaires pourront être appliquées pour l’arrêter avant qu’il ne parvienne à ses fins.
L’équipe d’intervention d’urgence de Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données, vient de dévoiler un nouveau rapport sur la propagation d’attaques DDoS via des équipements connectés insuffisamment protégés.
Si les vecteurs d’attaque DDoS sont nombreux, la méthode la plus utilisée est la suivante : les attaquants scannent Internet à la recherche d’équipements vulnérables à des attaques par injection de commande spécifiques.
Les commandes utilisées dans ces attaques IoT donnent l’instruction à l’équipement ciblé de télécharger le malware sur une serveur distant pour ensuite l’exécuter.
Une fois le malware exécuté, l’équipement est embrigadé dans un botnet et utilisé pour perpétrer des attaques DDoS.
Dans ce contexte, les mots de passe par défaut sont une bénédiction pour les cybercriminels : admin/admlin ; 0000 ; …
DDoS : Good morning vietnam !
Radware a mis en place un « pot de miel » surveillant l’activité sur le port 23, Telnet. Ce dernier a enregistré 300 tentatives de connexion par jour effectuées par des équipements situé partout dans le monde. Parmi ces appareils, on dénombrait des routeurs, des NAS, des lecteurs/enregistreurs de vidéo et des caméras web.
L’un des équipements les plus utilisés pour lancer des DDoS se trouve principalement au Vietnam. Cet appareil, le VNPT’s GPON IGATE GW040, a été largement infecté pour la simple et bonne raison que ses logins de connexion par défaut ont été divulgués sur Internet.
Cet appareil supporte le protocole d’administration à distance TR-069 et dispose d’un accès Telnet/SSH ouvert. La plupart des constructeurs fournissent sur leurs sites internet des documentations dans lesquelles on trouve les mots de passe par défaut, c’est le cas du GPON IGATE GW040. qBot, Hajime, Mirai et autres scanners utilisent un set de logins de connexion par défaut. Le fichier « scanner.c » de Mirai comporte par exemple 62 mots de passe par défaut de nombreux équipements et les créateurs de botnets recherchent en permanence de nouveaux logins et de nouveaux équipements pour les enrôler. (Radware)
Comme la plupart des “services” les attaques informatique migrent vers le cloud.
Selon Radware, la dernière tendance sur la scène du piratage international consiste utiliser les plateformes Cloud de grand fournisseurs tels que Amazon Web Services, Google ou Microsoft afin de déployer des attaques de déni de service (DDoS) à très grande échelle. Les pirates utilisent par ailleurs ces services pour mettre en œuvre des attaques de type “phishing” ainsi que d’autres activités malveillantes visant à leurrer ou contaminer les API (interfaces de programmation applicative) publiques de manière en modifier le comportement, à les utiliser pour cacher des scripts, du codes, des fichiers malveillants etc.
En seulement quelques heures, les pirates sont alors susceptibles de “charger” des scripts d’attaque et de lancer des assauts. Les organisations qui utilisent ces plateformes cloud pour la conduite de leurs activités sont alors confrontés à un risque majeur concernant leur sécurité puisqu’ils ne peuvent pas bloquer la communication avec ces plateformes de nuage public.
“Les pirates utilisent des plateformes cloud pour deux raisons: le volume et la dissimulation. Il existe des contextes d’utilisation spécifiques où une connection permanente est établie entre le réseau interne d’une entreprise et ses applications cloud.” indique Ben Zilberman, de chez Radware. “Dans ce type de scénario, si une attaque est lancée depuis le fournisseur de services cloud cela représente un véritable défi en terme de défense et de protection. La solutions de sécurité doit être suffisamment intelligente distinguer le trafic légitime du malveillant. Si les hackers parviennent à tirer parti de la puissance de grands fournisseurs de cloud publics pour effectuer des attaques par déni de service, leur seule limite est le budget dont ils disposent !”
Durant la période étudiée, ce sont les ressources de 70 pays qui ont été visées par des attaques DDoS, la Chine étant le pays le plus touché (77% du nombre total d’attaques). L’Allemagne et le Canada sont tous les deux sortis du top 10 des pays visés, remplacés par la France et les Pays-Bas.
La durée des attaques a largement augmenté ce trimestre. Si le nombre d’attaques ayant duré jusqu’à 4h a diminué – passant de 68% au 1er trimestre à 60% au 2nd trimestre – la proportion de très longues attaques a augmenté. 9% des attaques ont duré entre 20h et 49h (contre 4% au 1er trimestre) et 4% ont duré entre 50h et 99h (contre 1% au 1er trimestre). Au 2nd trimestre, l’attaque la plus longue a duré 291 heures (soit 12 jours), contre 8 jours au 1er trimestre.
Bien que les méthodes d’attaques les plus utilisées demeurent SYN DDoS, TCP DDoS et HTTP DDoS, la proportion d’attaques de type SYN DDoS a été multipliée par 1,4 par rapport au trimestre précédent (pour atteindre 76%). Cette augmentation s’explique principalement par la multiplication des attaques utilisant des botnets Linux – qui sont les plus efficaces pour les attaques SYN-DDoS. C’est la première fois que Kaspersky DDoS Intelligence enregistre un tel déséquilibre entre les bots basés sur Linux (70%) et Windows (30%).
« Les serveurs Linux contiennent souvent des vulnérabilités assez classiques, sans pour autant être protégés par une solution de sécurité robuste, ce qui les rend plus sujets aux infections de bots. Les attaques réalisées par des bots Linux sont simples mais efficaces ; elles peuvent durer plusieurs semaines, alors que le propriétaire du serveur n’a pas conscience d’être à l’origine d’une attaque. De plus, en utilisant un seul serveur, les cybercriminels peuvent lancer une attaque dont la puissance sera égale à celle de plusieurs centaines d’ordinateurs personnels. C’est pourquoi les entreprises doivent se protéger en amont contre ce type de scenario, quelles que soient la durée et la complexité des attaques », commente Oleg Kupreev, Lead Malware Analyst chez Kaspersky Lab.
Déjà que lancer des DDoS était accessible au premier idiot du village, voilà que maintenant, il pourrait être possible de les payer pour leurs attaques.
Le DDoS, une plaie du web qui a pour mission de bloquer un serveur à coups de connexions de masse. Un Déni Distribué de Service, c’est un peu comme déverser des poubelles devant l’entrée d’une maison, plus personne ne peut rentrer, plus personne ne peut en sortir. Deux chercheurs américains viennent de rajouter une couche dans ce petit monde fou-fou des DDoSeurs : payer les lanceurs d’attaques.
Eric Wustrow de l’Université du Colorado et Benjamin VanderSloot de l’Université du Michigan se sont lancés dans la création d’une crypto-monnaie, comme le bitcoin, qui pourrait rémunérer les lanceurs de DDoS. Ils ont baptisé leur « idée » : DDoSCoin. Sa mission, récompenser les participants à des dénis de service distribués (DDoS). Cette « monnaie » ne fonctionne que lorsque l’ordinateur de la cible a le TLS activé (Security Layer Transport), un protocole de chiffrement pour les communications Internet sécurisée.
Créer une monnaie qui permet aux « mineurs » de prouver leur participation à un DDoS vers un serveur web ciblé peut paraitre bizarre. Les deux étudiants cherchent des méthodes pour contrer et remonter ce type d’attaque.
Le britannique 123-Reg et le Français OVH ont subit ces derniers jours des attaques massives ayant eu pour mission de bloquer leurs services et serveurs.
Les attaques DDoS ne baissent pas. Leurs intensités ont même une fâcheuse tendance à s’intensifier. Derniers cas en date, des Dénis de Services Distribués (D.D.o.S.) massifs ayant visé le Britannique 123-Reg et le Français OVH.
Pour les nordistes d’OVH, 520 Gbps qui n’ont pas impactés les services de l’entreprise « à chaque instant, on a entre 50 et 150 IP qui se font DDoS » souligne Octave Klaba, le patron d’OVH.
Pour l’Anglais 123-Reg, l’attaque aura durée toute la journée du 2 août. 30 Gbps qui ont impactés les services et les clients de l’hébergeur. A noter qu’un petit Gbps est plus que suffisant pour faire tomber un service web.
Le record DDoS, constaté par la société Arbor Network, est de 579 Gbps. Il a été constaté en ce débit 2016.
Qui derrière ces attaques ?
Les pirates utilisent de plus en plus des attaques DDoS comme moyen de chantage à l’encontre des entreprises. Des sociétés, plus que troubles, commercialisent aussi des systèmes « stresser » qui, sur le papier, sont censés permettre de tester vos propres systèmes face aux DDoS. Des stresser qui, pour quelques Euros, servent surtout à bloquer d’autres sites et serveurs, comme ce fût le cas cet été à l’encontre d’éditeurs de jeux vidéo.
La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées permettant de mener des attaques par déni de services contre des entreprises.
La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées (25 000 caméras concernées dont 2% estimé en France), destiné à créer un réseau de botnet (machines zombies utilisées à l’insu de leur propriétaire) permettant de mener des attaques par déni de services contre des entreprises. Ce cas met une nouvelle fois en avant la problématique de sécurité des objets connectés. Ce n’est pas la premiére fois que le problème des caméras Ip est dénoncé. Lire les articles à ce sujet ICI et LA. Peter Gyöngyösi, Responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle indique à ce sujet que « Les coûts de fabrication priment toujours sur la sécurité : Ce cas de piratage de 25 000 caméras de surveillance démontre une nouvelle fois la problématique de la sécurité des objets connectés de notre quotidien ». Cette fois, les conséquences ne ciblent pas directement les utilisateurs, le piratage n’aura donc clairement pas la même portée que celui d’un fabricant de jouets comme Vtech ou le piratage de babyphones, mis en lumière il y a quelques mois par exemple.
En effet, dans ce cas les criminels ont piraté des objets connectés pour utiliser leur puissance au sein d’un réseau de machines zombies- botnet (utilisées donc à l’insu de leur propriétaire) en vue de mener des attaques par déni de services contre des entreprises (envoi simultanée de milliers de requêtes dans le but de saturer les serveurs au sein des entreprises).
Même s’il fait moins parler, ce cas démontre l’importance d’un engagement fort des fabricants d’objets connectés en matière de sécurité. Car aujourd’hui, le développement d’objets connectés est une véritable aubaine pour les cybercriminels. Et malheureusement, aujourd’hui nous constatons qu’il est encore utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public.
Aujourd’hui, objets connectés signifient des développements très rapides, des objectifs de coûts les plus bas possibles, tout en conservant une expérience utilisateur simple, rapide et agréable. Et clairement, personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes lorsqu’il s’agit d’utiliser un objet connecté. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, les fabricants doivent prendre de vraies mesures de sécurité et mettre en place des politiques de sécurité plus strictes. Rappelons que dans ce cas mis en lumière par la société Sucuri, le piratage a été permis par une simple faille présente dans un système commun utilisé par toutes les caméras. Une simple mise à jour aurait donc suffi à empêcher le piratage.
A noter que le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.
Il fallait bien se douter que les pirates informatiques allaient se jeter sur Pokemon GO. Plusieurs attaques DDoS ont tenté de saturer les serveurs de Nintendo.
Ce qui est bien avec les pirates informatiques, du moins ceux en mal de reconnaissance, est qu’ils sont aussi prévisibles qu’un glaçon dans un four. Alors que la France ou encore le Japon se préparent à un assaut de masse sur l’application Pokemon Go [lire l’avertissement sur les dangers des applications non officielles concernant Pokémon GO], les joueurs à l’international s’inquiètent de l’arrivée de nouveaux utilisateurs sur des serveurs déjà largement sous pression. Comme le rappel Kaspersky, les discussions sur les réseaux sociaux concernant le niveau de saturation des serveurs et les bugs à répétition qui en découlent sont légion, obligeant même Niantic à réagir. Mais l’incroyable popularité de l’application n’est pas seule en cause. Les serveurs de Pokemon Go ont été la cible de plusieurs attaques DDoS, revendiquées par différents groupes de pirates.
Du DDoS pour emmerder le monde… et pour de l’argent
Bien qu’un certain nombre de groupes de pirates ait revendiqué des attaques DDoS, il est difficile de vérifier la véracité de leurs affirmations. Et ce n’est pas le cœur du problème. Ce qui compte vraiment pour Nintendo et pour les joueurs de Pokemon Go est de protéger les serveurs et les données des joueurs, de maintenir la continuité de service et de préserver sa réputation et celle des entreprises derrière Pokémon Go. Mais ce n’est pas une tâche aisée, car les attaques DDoS sont perpétrées par plusieurs groupes au motifs variés : nuire à la réputation de l’entreprise, attirer l’attention sur des revendications politiques ou sociales, faire connaitre son outil « stresser » pour vendre du DDoS, ou des protections contre les DDoS, et bien sûr la perspective de possibles gains financiers
Black blocs 2.0
Le volume d’attaques DDoS a augmenté au cours des dernières années car le coût pour réaliser ces attaques a chuté. J’ai pu vous le montrer dans des articles expliquant qu’avec quelques euros il est possible de faire tomber n’importe quel serveur. « En parallèle, les attaques DDoS sont devenues plus sophistiquées et plus difficiles à contrer. Les cybers criminels enquêtent sur leur cible et choisissent les modes d’attaques qui ont le plus de chances de succès, indique David Emm, chercheur en sécurité chez Kaspersky Lab. Ils agissent en temps réel, de façon à pouvoir ajuster leurs tactiques et utiliser des outils différents dans le but de faire le plus de dégâts« .
Les attaques DDoS – Chaque attaque DDoS neutralisée est une invitation pour ses auteurs à intensifier leur assaut. C’est là la réalité du secteur de la protection DDoS et l’explication de bon nombre des tendances que nous observons aujourd’hui dans le paysage des menaces DDoS.
Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.
La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.
Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.
A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.
Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.
Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.
En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4ème trimestre 2015 à 1785 au 1er trimestre 2016.
Les attaques DDoS par pays.
Couche application : des robots DDoS plus malins
Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.
Au 1er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.
De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !
En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.
Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.
Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques
A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.
Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.
Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un cheval de Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.
Au 1er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).
Conclusion : les attaques DDoS conçues contre les solutions de neutralisation
Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.
Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.
D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies.
Ce lundi 11 Avril , le site du parlement lituanien (le Seimas ) a subi une cyber-attaque d’ampleur. L’attaque coïncidait avec la retransmission sur le site du parlement d’une réunion du Congrès mondial des Tatars de Crimée et d’une conférence internationale sur les violations massives des droits de l’homme dans les territoires occupés de Crimée.
L’ attaque DDoS a rendu impossible d’assister à la rediffusion en ligne de l’événement en dehors de la Lituanie. Selon Loreta Grauzinenie, porte-parole du parlement, il s’agirait de la première attaque du genre sur le Seimas .
Si le groupe EzBTC Squad a revendiqué l’attaque sur Twitter, prétextant des motivations financières (réclamant 4 Bitcoins soit 1 600 euros). Toutefois, ce groupe, nouvel émergent sur la scène pirate, a peiné à démontrer la crédibilité de ses menaces et même son implication réelle dans l’attaque.
Hi @vikolt your website has been the next in our DDoSing spree. You’ll have to pay pay us 2BTC to stop our attacks. DM for bitcoin address.
— EzBTC Squad (@EzBTC_Squad) 11 avril 2016
On peut légitimement se demander si l’attaque DDoS ne serait pas en train de devenir un moyen politique visant à museler administrations, organismes, communautés. On peut aussi tout simplement se demander si le EzBTC Squad est véritablement l’auteur ou s’il essaie de tirer parti de la situation. Le business du DDoS rapporte aussi beaucoup d’argent aux boutiques cachées derrière ces « attaques ».
Mais de fait, puisque la liberté d’expression s’exerce sur Internet, l’attaque DDoS pourrait bientôt s’avérer un outil efficace pour les hacktivistes, groupements d’intérêts, voire les gouvernements souhaitant limiter la liberté d’expression en dehors des frontières sur lesquels leur pouvoir s’exerce. ZATAZ.COM a diffusé, ce dimanche 17 avril, les commentaires d’un de ces groupes d’hacktivistes, Interview de DownSec, manifestant du numérique, des adeptes de la cyber manifestation sous forme de DDoS.
Un internaute de 15 ans arrêté pour avoir lancé des attaques DDoS contre une école. Une manipulation qui va perturber durant 48 heures l’hébergeur.
Le problème pour certains adolescents agissant sur Internet est de leur faire comprendre qu’une attaque de DDoS n’a rien de génial, de techniquement mirobolant. Non, un DDoS peut se comparer à déverser des poubelles devant une porte d’entrée car l’auteur de cette décharge publique n’a pas les capacités techniques et intellectuelles pour reproduire la clé ou crocheter la serrure qui lui aurait permis de rentrer dans la maison visée. Bref, un DDoS, du bullshit en paquet de 10.
Il a lancé des attaques DDoS
C’est ce qu’aurait du se dire un adolescent de 15 ans, arrêté le 8 avril dernier en Australie. Le jeune homme a attaqué une école, le Reynella East College. Un DDoS non maîtrisé qui a perturbé, durant 48 heures, l’hébergeur du site de l’école et les clients de l’entreprise. Le piratin signait ses actes sur la toile sous les pseudonyme de Will Star, Purple city et Global line. [Police]
Une attaque informatique de masse, de type DDoS, a mis au tapis plusieurs sites du gouvernement Irlandais.
Étonnante attaque, la semaine dernière, que celle vécue par le gouvernement Irlandais. Un certain nombre de portails gouvernementaux ont été contraints de se déconnecter du web en raison d’une cyberattaque à grande échelle. Des services tels que le Central Statistics Office, the Oireachtas ( l’ensemble du corps législatif irlandais), le Ministère de la Justice, de la Défense, ainsi que la cour de justice d’Irlande ont bloqués par des Dénis Distribués de Service, des DDoS.
Due to technical issues with Government networks, our website and email are currently unavailable. Apologies for any inconvenience.
— Central Statistics Office Ireland (@CSOIreland) January 22, 2016
Des connexions pirates, par millions, lancées par des robots malveillants contrôlés par des inconnus. L’attaque n’a pas été revendiquée, du moins officiellement et publiquement. Quelques jours plus tôt, la Loterie Nationale avait connu une panne de deux heures à cause d’une attaque similaire. Un moyen pour des pirates, du type de ceux arrêtés il y a quelques jours [DD4B], de montrer leur force de frappe à de potentielles victimes prêtes à payer pour ne pas être bloqués ?
Alors que le nombre de clients et d’objets connectés ne cesse de croître, les opérateurs de télécommunications et fournisseurs d’accès Internet (ISP) doivent plus que jamais assurer le service au client tout en protégeant leur système d’information des attaques informatiques. Ces entreprises doivent toujours fournir des services disponibles et très rapides à leurs clients, même lorsqu’ils sont sous une attaque de type DDoS. Cela suppose de posséder une infrastructure performante et sécurisée prenant en charge de nouvelles charges de travail et des applications comme la téléphonie mobile, le BYOD(Bring Your Own Device) et l’Internet des objets. Mais parviennent-ils à répondre à ces attentes ? Quelles sont leurs méthodes ?
On pourrait croire que les opérateurs et FAI sont les entreprises les plus averties et conscientes des enjeux liés à la sécurité de leurs serveurs DNS. Or, l’expérience montre que lors d’une attaque les systèmes de sécurité traditionnels qu’ils utilisent ne sont pas ou plus adaptés aux nouvelles menaces. L’approche traditionnelle des FAI consiste à empiler les serveurs et les équilibreurs de charge pour soutenir l’augmentation du trafic, même s’ils ne connaissent pas vraiment le profil du trafic et ignorent pourquoi il augmente. Les solutions de sécurité DNS traditionnellement utilisées fonctionnent à “l’aveugle” et ne sont pas en mesure de comprendre ce qu’est réellement le profil de trafic sur ces serveurs. Les applications actuelles sont toutes basées sur le protocole IP et si un serveur DNS ne répond pas avec la performance attendue ou si elle est trop faible, toutes les applications seront inaccessibles ! Une cyberattaque a donc un impact négatif très rapide et directe sur l’entreprise, ses utilisateurs et ses clients. Les entreprises de télécommunication et les FAI se rendent compte que la faible sécurité DNS dégrade Internet et la disponibilité mais n’ont pas la bonne visibilité pour
comprendre et gérer cette infrastructure.
Une sécurité DNS mal gérée pour les telcos
De nombreux opérateurs de télécommunications et fournisseurs de services Internet pensent que le blocage du trafic est LA solution aux problèmes de DNS. Malheureusement, les attaques sont de plus en plus sophistiquées et il est de plus en plus difficile de comprendre le modèle, la source ou la cible d’attaque. Toutefois, bloquer simplement le trafic peut conduire à bloquer celui d’un client important, d’une société ou même un pays si l’information nécessaire à la bonne prise de décison n’est pas disponible. Les récentes attaques sur Rackspace ou DNS Simple ont démontré la limite des solutions de sécurité classique et DDoS, pour protéger les services DNS. L’attaque DDoS du fournisseur de services Rackspace a paralysé ses serveurs DNS pendant 11 heures. Pour faire face à cette attaque, l’entreprise a bloqué le trafic qu’il pensait être à l’origine de l’attaque, malheureusement ils ont admis avoir bloqué aussi du trafic légitime venant de leurs clients. Le même mois, DNSimple fait face une attaque similaire et décide finalement de désactiver le mécanisme de sécurité DDoS du DNS pour retrouver un service normal de résolution de noms.
Dans les deux cas, les entreprises ont pris des mesures radicales qui prouvent que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables.
Des attaques aux conséquences lourdes …
La sécurité du DNS est mal gérée dans de nombreuses organisations informatiques et l’écosystème de la menace est apte à lancer des attaques où le serveur DNS peut être la cible ou un vecteur pouvant entraîner :
– Échec ou lenteur de l’accès à des sites Web et des applications
– Reroutage du trafic Web vers des sites Web non-autorisés et potentiellement criminelles entraînant des vols de données, une fraude d’identité, …
Au-delà de ces dommages, les entreprises de télécommunications investissent énormément dans leur infrastructure (pare-feu, load-balancer, monitoring…) pour faire face aux cyberattaques. Or, ce genre d’administration et de dépenses peuvent paraître excessives quand ces solutions ne savent pas exactement ce qui se passe. Quand on ne peut pas voir la source d’une attaque, y répondre s’avère risqué .
… mais contournables
Un fait important : 95% du trafic se focalise sur un minimum de nom de domaines souvent demandés (Ex : google, Facebook, sites d’informations,…). Partant de ce constat, la priorité est d’être réactif pour assurer un accès à ses utilisateurs, quel que soit le cas de figure. On a pu mesurer qu’en moins de cinq minutes, un opérateur peut perdre l’accès à ces 95% de trafic ; un timing limité pour prendre conscience de l’attaque et prendre une décision pour la contrer efficacement.
Heureusement, certains fournisseurs et éditeurs de solutions de sécurité DNS ont développé des technologies pour voir l’attaque de l’intérieur, ils peuvent donc effectuer une analyse plus fine ; une analyse qui permet de proposer une sécurité adaptative ou graduelle. Dans les cas extrêmes, la solution consiste à ne plus répondre qu’avec les données en cache et refuser les requêtes inconnues. C’est 95% du trafic qui est ainsi traité, ce qui constitue une bonne alternative et permet de gagner du temps pour répondre à la menace. Serait-ce la solution miracle pour limiter l’impact d’une attaque ? Il serait alors possible de mettre à la corbeille les multitudes de pare-feu, serveurs et autres équilibreurs de charge, coûteux en terme de gestion et pesant lourd dans le budget des entreprises de télécommunication. (Par Hervé DHELIN, EfficientIP)
La prestigieuse BBC attaquée le 31 décembre par un DDoS violent qui a bloqué durant quelques heures ses sites et espaces de travail.
Un DDoS, lancé jeudi 31 décembre au matin, a bloqué le média britannique BBC durant plusieurs minutes. Une attaque qui a empêché, en interne, de fournir la moindre information sur le site officiel de l’antenne médiatique publique Anglaise. L’ensemble de ses services : replay, mails… étaient injoignables pour le public, comme pour les employés.
We're aware of a technical issue affecting the BBC website and are working to fix this now. We'll update you as soon as we can.
Qui derrière ce DDoS ? Plusieurs choix possibles allant du « piratin » qui teste un outil de Dénis Distribués de Services qu’il a loué ; un propagandiste de Daesh. Les choix sont tellement nombreux !
A noter que le site avait encore de sérieux ralentissement en ce 2 janvier. Une attaque qui change de celle orchestrée contre la British Broadcasting Corporation, en décembre 2013, par les pirates Hash et Rev0lver. Ces derniers avaient réussi à mettre la main sur les identifiants de connexion de ftp.bbc.co.uk. Un espace qui permettait aux journalistes et annonceurs de télécharger leurs contenus. Un an auparavant, un pirate iranien s’était invité dans l’espace « Perse » de la BBC [http://www.bbc.com/persian/].
Pour répondre à savoir qui est derrière l’attaque, une piste, qui reste cependant très « lol! ». Le journaliste Rory Cellan-Jones a reçu le message d’un groupe baptisé New World Hackers. Les « pirates » indiquent avoir testé leurs capacités opérationnelles sur le site de la BBC pour, ensuite, lutter contre Daesh ! « Ce n’était qu’un test. Nous n’avions pas l’intention d’empêcher son fonctionnement pendant plusieurs heures« .
A noter que les mêmes zouaves ont attaqué le site de Donald Trump, un autre extrémiste, mais à mille lieux de Daesh ! Bref, ils ont acheté des minutes DDoS et s’en servent !
Akamai met en garde contre trois nouveaux vecteurs d’attaques DDoS par réflexion.
Akamai Technologies, Inc. leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte cybersécurité. Akamai a, en effet, observé ces derniers mois trois nouvelles attaques par déni de service distribué (DDoS) utilisant la réflexion.
Qu’est-ce qu’une attaque DDoS par réflexion ?
Une attaque DDoS par réflexion, ou attaque DrDoS, compte trois types d’acteurs: l’attaquant, sa cible et des serveurs, complices malgré eux. L’attaquant envoie une requête simple à un service d’une victime. Ce pirate falsifie (par usurpation d’adresse) sa requête, qui donne l’impression de provenir de la cible. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. Si la réponse de la victime est largement supérieure, en volume, à la requête, le pirate opte pour l’attaque DDoS par réflexion, qui amplifie ses capacités. Il envoie plusieurs centaines ou milliers de requêtes à haut débit à une longue liste de victimes en automatisant le processus avec un outil d’attaque et déclenche, en retour, un flux de trafic indésirable et une interruption par déni de service sur la cible.
« Même si les attaques DDoS par réflexion sont courantes, ces trois vecteurs d’attaques exploitent de manière abusive différents services et, démontrent ainsi que les pirates sondent sans relâche l’Internet pour découvrir de nouvelles ressources dont ils pourront tirer parti », indique à DataSecurityBreach.fr Stuart Scholly, senior vice president et general manager d’Akamai. « C’est comme si aucun service UDP n’était épargné par les auteurs d’attaques DDoS ; il faut donc que les administrateurs de serveurs bloquent les services inutiles ou les protègent des réflexions malveillantes. La quantité de services UDP exploitables pour des attaques DDoS par réflexion sur Internet est stupéfiante. »
Les outils employés pour chacune de ces nouvelles attaques par réflexion sont liés – car tous sont des variantes du même code C. Chaque vecteur d’attaques procède de la même façon : un script envoie une requête via une adresse usurpée à une liste de victimes. Les options de commande en ligne sont identiques.
Attaque DDoS par réflexion via le serveur NetBIOS
L’attaque DDoS par réflexion de type NetBIOS – qui consiste, plus précisément, en une réflexion du protocole NBNS (NetBIOS Name Service) – a été observée sporadiquement par Akamai de mars à juillet 2015. L’objectif principal delde NetBIOS est de permettre à des applications situées sur des ordinateurs distincts de communiquer et d’ouvrir des sessions pour accéder à des ressources partagées et s’identifier les uns les autres sur un réseau local.
Cette attaque génère 2,56 à 3,85 fois plus de trafic de réponse envoyé à la cible que les requêtes initiales adressées par le pirate.. Akamai a observé quatre attaques par réflexion sur le serveur NetBIOS, la plus conséquenteatteignant 15,7 Gbit/s. Bien que les requêtes NetBIOS, légitimes et malveillantes, soient fréquentes, un afflux de réponses a, pour la 1ère fois, été détecté en mars 2015 lors d’une attaque DDoS neutralisée pour un client Akamai.
Attaque DDoS par réflexion via le mécanisme RPC portmap
La première attaque DDoS par réflexion via le mécanisme RPC portmap, observée et neutralisée par Akamai, s’est produite en août 2015 dans le cadre d’une campagne d’attaques DDoS multi-vectorielles. RPC portmap, ce mécanisme indique au client comment appeler une version spécifique du service ONC RPC (Open Network Computing Remote Procedure Call).
Le facteur d’amplification des réponses les plus massives s’est établi à 50,53. Le plus courant était de l’ordre de 9,65. Sur les quatre campagnes d’attaques par réflexion de type RPC neutralisées par Akamai, l’une dépassait 100 Gbit/s, attestant de son extrême puissance. Des requêtes malveillantes visant à déclencher des attaques par réflexion ont été observées par Akamai quasi-quotidiennement à l’encontre de diverses cibles en septembre 2015.
Attaque DDoS par réflexion via Sentinel
La première attaque DDoS par réflexion via Sentinel, observée en juin 2015 à l’université de Stockholm, est associée à une vulnérabilité du serveur de licences SPSS, logiciel d’analyse statistique. Akamai a neutralisé deux campagnes d’attaques DDoS par réflexion de ce type en septembre 2015. Parmi les sources d’attaques figuraient des serveurs performants à forte disponibilité en bande passante, tels que des serveurs universitaires.
Si le facteur d’amplification de cette attaque ressort à 42,94, seulement 745 sources de ce trafic d’attaques sont identifiées. Même avec une bande passante supplémentaire fournie par des serveurs en réseau, une attaque de ce type est limitée par le nombre de réflecteurs disponibles. L’une de ces attaques a culminé à 11,7 Gbit/s.
Neutralisation des attaques DDoS et renforcement des systèmes
Pour ces trois vecteurs d’attaques DDoS, un filtrage en amont peut être éventuellement utilisé pour les neutraliser ; sinon, il faudra faire appel à un prestataire de services spécialisés en mode cloud. L’alerte de cybersécurité propose une règle Snort permettant de détecter les requêtes malveillantes générées par l’outil d’attaque RPC portmap. Des règles similaires peuvent être conçues pour détecter le service Sentinel. « Les administrateurs devraient se demander si ces trois services doivent être accessibles à tous sur Internet», conclut Stuart Scholly. « Probablement non en ce qui concerne NetBIOS. Pour les deux autres, en revanche, il se peut que la réponse soit oui, et le défi consiste alors à les protéger. Les trafics RPC et Sentinel peuvent alors être contrôlés et maîtrisés avec un système de détection des intrusions.»
Cette alerte, qui détaille avec précision ces menaces via NetBIOS name server, le mécanisme RPC portmap et Sentinel, est téléchargeable sur www.stateoftheinternet.com/3-ddos-reflection
320 heures : c’est la durée de l’attaque DDoS la plus longue enregistrée par Kaspersky Lab au troisième trimestre 2015, soit près de deux semaines.
Le rapport sur les attaques DDoS a été mené à partir de la surveillance continue des botnets et de l’observation des nouvelles techniques employées par les cybercriminels. Les victimes des attaques DDoS se répartissent dans 79 pays à travers le monde. Les 3 pays les plus touchés sont la Chine, les Etats-Unis et la Corée du Sud. Plus de 90 % des attaques ont duré moins de 24 heures mais le nombre d’attaques dépassant 150 heures est en nette progression. Le nombre le plus élevé d’attaques ciblant une même victime a été de 22, contre un serveur situé aux Pays-Bas. Les cybercriminels semblent prendre des vacances comme tout un chacun, le mois d’août ayant été le plus calme du trimestre en matière d’attaques. Les botnets sous Linux occupent une part importante, étant à l’origine de 45,6 % de toutes les attaques enregistrées, principalement pour des raisons de protection insuffisante et de capacité supérieure de bande passante.
Les banques sont des cibles fréquentes d’attaques complexes et de demandes de rançons. Les attaques moins complexes mais non moins dangereuses sont devenues moins chères à exécuter. Le rapport révèle également que des attaques DDoS visant des serveurs ont été observées dans 79 pays au total, mais, 91,6 % des victimes des attaques DDoS se trouvent dans seulement 10 pays. On notera également que les auteurs d’attaques DDoS ne peuvent pas opérer loin de leur pays de résidence contrairement à d’autres organisations cybercriminelles spécialisées dans le piratage de cartes de crédit par exemple.
De plus amples détails sur la répartition géographique et d’autres caractéristiques des attaques DDoS enregistrées par l’observatoire DDoS Intelligence de Kaspersky Lab figurent dans le rapport complet publié sur le site Viruslist. « D’après nos observations et nos mesures directes, nous ne pouvons pas prédire comment le « business » clandestin des attaques DDoS va évoluer. La menace semble se développer partout. Nous avons enregistré des attaques extrêmement complexes contre des banques, assorties d’une demande de rançon, mais aussi de nouvelles méthodes bon marché destinées à paralyser les activités d’une entreprise pendant une période prolongée. Le volume des attaques augmente, la plupart d’entre elles ayant pour but de frapper, de semer le chaos et de disparaître. Cependant, le nombre des attaques de longue durée, capables d’acculer à la faillite une grande entreprise non protégée, est également en hausse. Ces évolutions de taille obligent les entreprises à prendre des mesures préventives contre la menace bien réelle et le risque accru que représentent les attaques DDoS », commente à Data Security Breach Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.
Pendant ce temps…
L’excellent service de chiffrement de courrier électronique ProtonMail se faisait attaquer à coup de DDoS, au début du mois de novembre. Des rançonneurs qui réclament de l’argent pour que cessent les attaques. ProtonMail a versé 6000 dollars aux assaillants. Ces derniers n’ont cependant pas attaqué l’attaque perturbant les services de l’entreprise Suisse. « En l’espace de quelques heures, les attaques ont commencé à prendre un niveau de sophistication sans précédent » confirme ProtonMail. Impressionnante attaque car l’assaut, coordonné, a visé le FAI de ProtonMail avec des données malveillantes dépassant les 100Gbps. Une attaque visant le centre de données, mais également des routeurs à Zurich, Francfort… Des centaines d’autres entreprises ont été impactées. ProtonMail a payé 6000 dollars, espérant que cesse l’attaque. Ils ont suivi la directive d’un agent spécial du FBI qui invitait les entreprises victimes à payer. Mauvaise idée ! « Cela a été clairement une mauvaise décision, confirme ProtonMail, à tous les attaquants futurs – ProtonMail ne payera plus jamais une autre rançon« . Les maîtres chanteurs, ils signent sous le pseudonyme d’Armada Collective, se sont attaqués à plusieurs autres entreprises helvétiques.
Le nouvel avis d’alerte établit le profil de plusieurs campagnes d’attaques récentes lancées à partir du botnet XOR DDoS. Le botnet XOR DDoS s’est perfectionné, et est à présent capable de déclencher des méga-attaques DDoS à plus de 150 Gbit/s. 90 % des attaques par déni de service distribué, exécutées par le botnet XOR DDoS, ont ciblé des organisations en Asie.
Akamai Technologies, Inc, leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte de cybersécurité faisant état d’une menace révélée par son pôle SIRT (Security Intelligence Response Team). Des pirates informatiques ont créé un botnet capable de mener des campagnes d’attaques par déni de service distribué (DDoS) à plus de 150 Gbit/s au moyen du malware XOR DDoS, un cheval de Troie servant à détourner des systèmes sous Linux.
Qu’est-ce que XOR DDoS ?
Le malware XOR DDoS est un cheval de Troie qui infecte les systèmes Linux, en leur demandant de lancer des attaques DDoS sur demande, pilotées par un pirate à distance. Au départ, le pirate s’empare d’une machine Linux via des attaques par force brute pour découvrir le mot de passe donnant accès aux services SSH (Secure Shell). Une fois cet identifiant obtenu, il se sert des privilèges « root » pour exécuter un script shell Bash qui télécharge et lance le binaire malveillant.
« En un an, le botnet XOR DDoS s’est perfectionné et peut désormais être utilisé pour lancer de gigantesques attaques DDoS», souligne Stuart Scholly, à DataSecurityBreach.fr, vice-président et directeur général de la division Sécurité d’Akamai. « XOR DDoS illustre parfaitement le changement de tactique des pirates qui créent des botnets à partir de systèmes Linux infectés pour lancer des attaques DDoS. Ce phénomène se produit beaucoup plus fréquemment qu’auparavant, lorsque les machines sous Windows étaient les principales cibles des malwares DDoS. »
Attaques par déni de service XOR DDoS
Les travaux du pôle SIRT d’Akamai ont établi que la bande passante des attaques DDoS, déclenchées par le réseau de machines zombies XOR DDoS, était variable, se situant entre moins de 10 Gbit/s et plus de 150 Gbit/s, soit un volume d’attaques extrêmement conséquent. Le secteur des jeux a été le plus souvent ciblé, talonné par l’éducation. Ce botnet attaque jusqu’à 20 cibles par jour, situées pour 90 % d’entre elles en Asie. Le profil de plusieurs des attaques de sa provenance, neutralisées par Akamai, correspond à celles documentées en date des 22 et 23 août dans l’avis. L’une d’elles a frôlé 179 Gbit/s, tandis que l’autre avoisinait 109 Gbit/s. Deux vecteurs d’attaques ont été observés : SYN- et DNS-floods.
Si l’adresse IP du bot est parfois usurpée, elle ne l’est pas systématiquement. Les attaques observées dans le cadre des campagnes DDoS menées à l’encontre des clients d’Akamai, étaient un mélange de trafic usurpé et non-usurpé. Les adresses IP usurpées sont générées de façon à ce qu’elles semblent émaner du même espace d’adressage (blocs /24 ou /16) que celles de l’hôte infecté. Une technique d’usurpation, consistant à modifier uniquement le troisième ou le quatrième octet de l’adresse IP, empêche les fournisseurs d’accès à Internet (FAI) de bloquer le trafic usurpé sur les réseaux protégés par le mécanisme uRPF (Unicast Reverse Path Forwarding) de vérification du chemin inverse.
Neutralisation des attaques XOR DDoS
Des caractéristiques statiques identifiables ont été observées, notamment la valeur TTL de départ, la taille de fenêtre TCP et les options d’en-tête TCP. Ces signatures de charge utile peuvent contribuer à la neutralisation des attaques par déni de service distribué. Elles sont consultables dans l’avis d’alerte. Par ailleurs, des filtres tcpdump sont prévus pour faire face au trafic d’attaques SYN-flood généré par ce botnet.
Détection et éradication du malware XOR DDoS
La présence du botnet XOR DDoS peut être détectée de deux manières. Sur un réseau, il faut repérer les communications entre un bot, ou zombie, et son canal de commande et contrôle (C2) en faisant appel à la règle Snort exposée dans l’avis. Sur un hôte Linux, il faut se servir de la règle YARA qui opère une mise en correspondance des chaînes relevées dans le binaire.
Le malware XOR DDoS est persistant : il exécute des processus qui réinstalleront les fichiers malveillants même s’ils sont supprimés. Par conséquent, son éradication relève d’un processus en quatre étapes pour lesquels plusieurs scripts sont spécifiés dans l’avis :
Localiser des fichiers malveillants dans deux répertoires.
Identifier des processus qui favorisent la persistance du phénomène.
Eradiquer les processus malveillants.
Supprimer les fichiers malveillants.
Akamai continue à surveiller les campagnes exploitant régulièrement le malware XOR DDoS pour déclencher des attaques par déni de service distribué. Pour en savoir plus sur cette menace, sur la suppression de ce malware et sur les techniques de neutralisation DDoS, un exemplaire gratuit de l’avis est téléchargeable à l’adresse www.stateoftheinternet.com/xorddos.
Selon un rapport de sécurité publié par Akamai concernant le 2e trimestre 2015, les attaques par déni de service distribué (DDOS) se sont multipliées au cours des trois derniers trimestres. Ce type d’attaque, qui a principalement pour but de rendre un site, un serveur, un service ou une infrastructure indisponible et inutilisable en submergeant la bande passante de fausses requêtes, aurait même doublé entre 2014 et 2015.
Si elles existent depuis de nombreuses années, il semblerait que la puissance de ces menaces évolue. Le rapport révèle en effet que le nombre de méga-attaques a augmenté, leur fréquence, leur durée et leur sophistication atteignant même des niveaux encore jamais observés. Les pirates informatiques cherchent sans cesse de nouvelles méthodes pour exploiter la moindre vulnérabilité, pénétrer au cœur des systèmes d’information et arriver à leurs fins. Dans le cadre des attaques DDOS, les hackers peuvent utiliser plusieurs techniques pour dissimuler leur présence et la cible réelle de leurs actions. Parmi elles, les attaques dites volumétriques dont le but est de saturer la bande passante du réseau et de l’infrastructure. Mais comme l’indique le rapport d’Akamai, nous assistons également à l’exploitation croissante d’attaques applicatives qui ciblent des services et des applications spécifiques jusqu’à épuisement des ressources. Dans ce cas de figure, le vecteur d’attaque utilise un faible volume de trafic et sollicite beaucoup moins la bande passante, ce qui rend l’action encore plus difficile à détecter.
La plupart des entreprises craignent aujourd’hui d’être la cible de hackers mais pensent être à l’abri avec les solutions ‘traditionnelles’ de sécurité dont elles disposent, telles que des firewalls ou des systèmes de prévention d’intrusion (IPS). Ces outils représentent une première couche de sécurité mais ne suffisent pas à eux seuls pour résister à ces menaces multi-vectorielles et insidieuses d’un nouveau genre. De plus, dans la mesure où une attaque DDOS n’est exploitable que si elle ne sature pas la bande passante, certaines organisations préfèrent augmenter la vitesse de leur connexion plutôt que d’investir dans une solution de sécurité adaptée. Cette option n’est bien entendu, en aucun cas une solution efficace pour protéger ses données et ses ressources durablement.
Face à cette sophistication grandissante des attaques DDOS, les entreprises doivent s’adapter et revoir leur stratégie pour y faire face. Une mesure efficace serait la mise en place d’outils permettant de fournir une surveillance proactive, continue et en temps réel de l’activité sur leur réseau et de l’ensemble des équipements qui composent l’environnement IT. L’adoption de solutions de sécurité dites intelligentes disposant d’un moteur d’analyse puissant est également un atout majeur dans le cadre d’une stratégie globale de sécurité car ils permettent d’identifier la moindre activité anormale ou inhabituelle qui laisserait présager une menace. En combinant la surveillance des réseaux et des utilisateurs, les organisations peuvent avoir une meilleure visibilité en temps réel pour détecter beaucoup plus tôt les éventuelles attaques, et prendre très rapidement les mesures nécessaires pour les neutraliser avant qu’elles ne causent des dommages durables.
Les attaques DDOS ne sont pas nouvelles mais leur diversification et leur complexité changent clairement la donne. Cela signifie notamment que leur ampleur peut devenir plus critique : elles peuvent en effet paralyser les activités vitales d’une entreprise, dans certains secteurs tels que le e-commerce ou la banque en ligne. Si un site est indisponible, ne serait-ce que quelques heures, les pertes financières ainsi que l’impact en termes de réputation et de clientèle peuvent être extrêmement préjudiciables. C’est la raison pour laquelle aucune organisation, quel que soit son secteur d’activité, ne doit sous-estimer le risque qui plane sur ses ressources ni surestimer l’efficacité des solutions de sécurité en place. Il est ainsi primordial de faire évoluer sa stratégie globale et les outils adoptés en fonction de l’évolution du paysage des menaces et des techniques employées par les hackers. (Commentaires de Jean-Pierre Carlin, LogRhythm).
Des chercheurs en sécurité ont découvert une nouvelle technique de blocage DDoS qui exploite BitTorrent pour lancer de puissantes attaques.
Une faiblesse dans le protocole BitTorrent rend certaines des applications torrent, comme uTorrent, Mainline et Vuze, vulnérables à une nouvelle forme de Déni de Service (DoS). Cette possibilité pourrait permettre à un seul individu d’exécuter de puissantes attaques à l’encontre de n’importe quel site Internet.
L’attaquant peut exploiter la faille afin d’exécuter une attaque distribuée réfléchissante (DRDOS) qui permet une amplification significative du trafic malveillant qui est utilisé pour inonder la cible de fausses requêtes de connexion. Une attaque qui pourrait permettre à un utilisateur de BitTorrent de lancer, via sa petite connexion de base, des requêtes à d’autres utilisateurs BitTorrent. Bilan, le problème de l’échiquier de Sissa 2.0 peut débuter. L’attaque exploite le manque d’un mécanisme visant à empêcher la falsification d’adresses IP dans le protocole UDP utilisé dans le BitTorrent. (Usenix)
Akamai Technologies, Inc., leader mondial des services de réseau de diffusion de contenu (CDN), annonce la disponibilité de son rapport de sécurité « État les lieux de l’Internet » du 2ème trimestre 2015. Il livre une analyse et un éclairage sur les cyber-menaces qui pèsent sur la sécurité cloud à l’échelle mondiale.
« La menace des attaques par déni de service distribué (DDoS) et applicatives web ne cesse de s’intensifier chaque trimestre », précise John Summers, vice-président, Cloud Security Business Unit d’Akamai. « Les acteurs malveillants brouillent perpétuellement la donne en changeant de tactique, en dénichant de nouvelles vulnérabilités, voire en remettant au goût du jour des techniques considérées comme obsolètes. En analysant les attaques observées sur nos réseaux, nous sommes en mesure d’inventorier les menaces et tendances naissantes et de communiquer au public les informations indispensables à la consolidation de leurs réseaux, sites web et applications, et à l’amélioration de leurs profils de sécurité cloud. »
Dans ce rapport sont analysés deux vecteurs d’attaques applicatives web supplémentaires, mais aussi examiné les menaces représentées par le trafic TOR (routage en oignon) et même mis au jour certaines vulnérabilités dans des modules externes WordPress tiers, en cours de publication dans le dictionnaire CVE », ajoute-t-il. « Plus les menaces de cybersécurité sont documentées, mieux la défense d’une entreprise peut être opérée.
Panorama de l’activité des attaques DDoS
Sur les trois derniers trimestres, il apparaît que le nombre d’attaques DDoS double d’une année sur l’autre. Si, au cours de ce trimestre, les pirates ont privilégié les attaques de moindre débit mais de plus longue durée, toujours est-il que le nombre de méga-attaques ne cesse de croître. Au 2ème trimestre 2015, 12 attaques à un débit supérieur à 100 Gb/s ont été recensées et 5 autres culminant à plus de 50 Mp/s (millions de paquets par seconde). Très peu d’entreprises sont capables de résister par elles-mêmes à des attaques de cette ampleur.
L’attaque DDoS la plus massive au 2ème trimestre 2015, mesurée à plus de 240 Gb/s, a duré plus de 13 heures. Le débit crête est généralement limité à une fenêtre d’une à deux heures. Sur cette même période, l’une des attaques présentant le débit de paquets le plus élevé jamais encore enregistré sur le réseau Prolexic Routed a également été déclenchée (à un pic de 214 Mp/s). Ce volume d’attaques est capable de paralyser des routeurs de niveau 1 comme ceux utilisés par les fournisseurs d’accès Internet.
L’activité des attaques DDoS a établi un nouveau record au 2ème trimestre 2015, en hausse de 132 % à trimestre comparable un an auparavant, et de 7 % par rapport au 1er trimestre 2015. Si le débit crête et le volume maximal moyens des attaques ont légèrement progressé au 2ème trimestre 2015 comparativement au trimestre précédent, ils demeurent nettement en-deçà des valeurs maximales relevées au deuxième trimestre 2014.
SYN et SSDP (Simple Service Discovery Protocol) sont les vecteurs les plus couramment utilisés ce trimestre, chacun d’eux représentant approximativement 16 % du trafic d’attaques DDoS. Eu égard à la prolifération d’équipements électroniques de loisirs non sécurisés, connectés à Internet via le protocole UPuP (Universal Plug & Play), leur utilisation comme réflecteurs SSDP demeure attrayante. Quasiment inexistant il y a encore un an, le SSDP s’est imposé comme l’un des principaux vecteurs d’attaques ces trois derniers trimestres. Quant à la technique par saturation de type « SYN flood », elle continue à dominer les attaques volumétriques et ce, depuis la première édition du rapport de sécurité parue au troisième trimestre 2011.
Le secteur des jeux en ligne demeure une cible privilégiée depuis le 2ème trimestre 2014, systématiquement visé par environ 35 % des attaques DDoS. Au cours des deux derniers trimestres, la majorité du trafic d’attaques ne provenant pas d’adresses usurpées a continué à émaner de la Chine, pays qui figure dans le trio de tête depuis la parution du premier rapport au troisième trimestre 2011.
Activité des attaques applicatives web
Des statistiques sur les attaques applicatives web ont commencé à être publiées par Akamai au premier trimestre 2015. Ce trimestre, deux autres vecteurs d’attaques ont été analysés : les failles Shellshock et XSS (cross-site scripting).
Shellshock, vulnérabilité logicielle présente dans Bash mise au jour en septembre 2014, a été exploitée dans 49 % des attaques applicatives web ce trimestre. En réalité, 95 % des attaques Shellshock ont visé un seul client appartenant au secteur des services financiers, dans le cadre d’une campagne qui a duré plusieurs semaines en début de trimestre. Généralement menée sur HTTPS, cette campagne a rééquilibré l’utilisation des protocoles HTTPS et HTTP. Au premier trimestre 2015 en effet, seulement 9 % des attaques avaient été dirigées sur HTTPS, contre 56 % ce trimestre.
Par ailleurs, les attaques par injection SQL (SQLi) représentent 26 % de l’ensemble des attaques, soit une progression de plus de 75% des alertes de ce type rien qu’au deuxième trimestre. À l’inverse, les attaques de type LFI (inclusion de fichier local) s’inscrivent en net recul. Principal vecteur d’attaques applicatives web au premier trimestre 2015, LFI n’est plus à l’origine que de 18 % des alertes au deuxième trimestre 2015. L’inclusion de fichier distant (RFI), l’injection PHP (PHPi), l’injection de commandes (CMDi), l’injection OGNL Java (JAVAi) et le chargement de fichier malveillant (MFU) comptent, pour leur part, pour 7 % des attaques applicatives web.
Comme au premier trimestre 2015, ce sont les secteurs des services financiers et du commerce et de la grande distribution qui ont été les plus fréquemment touchés par les attaques.
La menace des modules externes et thèmes WordPress tiers
WordPress, plate-forme la plus en vogue dans le monde pour la création de sites web et de blogues, est une cible de choix pour des pirates qui s’attachent à exploiter des centaines de vulnérabilités connues pour créer des botnets, disséminer des logiciels malveillants et lancer des campagnes DDoS.
Le code des modules externes tiers est très peu, voire nullement, contrôlé. Afin de mieux cerner les menaces, Akamai a testé plus de 1 300 modules externes et thèmes parmi les plus répandus. Résultat : 25 d’entre eux présentaient au moins une vulnérabilité nouvelle. Dans certains cas, ils en comprenaient même plusieurs puisque 49 exploits potentiels ont été relevés au total. Une liste exhaustive des vulnérabilités mises au jour figure dans le rapport, accompagnée de recommandations pour sécuriser les installations WordPress.
Les forces et les faiblesses de TOR
Le projet TOR (The Onion Router, pour « routage en oignon ») fait en sorte que le nœud d’entrée ne soit pas identique au nœud de sortie, garantissant ainsi l’anonymat des utilisateurs. Bien que nombre des utilisations de TOR soient légitimes, son anonymat présente de l’intérêt pour les acteurs malveillants. Pour évaluer les risques liés à l’autorisation de trafic TOR à destination de sites web, Akamai a analysé ce trafic web à l’échelle de sa base de clients Kona sur une période de sept jours.
L’analyse a révélé que 99 % des attaques émanaient d’adresses IP non-TOR. Néanmoins, une requête sur 380 issues de nœuds de sortie TOR était malveillante, contre une sur 11 500 seulement en provenance d’adresses IP non-TOR. Ceci dit, le blocage de trafic TOR pourrait se révéler préjudiciable sur le plan économique. Toutefois, les requêtes HTTP légitimes vers les pages d’e-commerce correspondantes font état de taux de conversion équivalents entre nœuds de sortie TOR et adresses IP non-TOR. Le rapport.
