Archives par mot-clé : DDoS

Cyber-attaque, Cybersécurité, DDoS, Mise à jour, Piratage

La France largement ciblée par les attaques DDoS au premier trimestre 2016

Les attaques DDoS – Chaque attaque DDoS neutralisée est une invitation pour ses auteurs à intensifier leur assaut. C’est là la réalité du secteur de la protection DDoS et l’explication de bon nombre des tendances que nous observons aujourd’hui dans le paysage des menaces DDoS.

Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.

La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.

Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.

A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.

Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4ème trimestre 2015 à 1785 au 1er trimestre 2016.

Les attaques DDoS par pays.

Couche application : des robots DDoS plus malins

Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques

A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.

Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un cheval de Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.

Au 1er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).

Conclusion : les attaques DDoS conçues contre les solutions de neutralisation

Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.

Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies.

Cyber-attaque, Cybersécurité, DDoS, Justice, Piratage

Attaque informatique contre le parlement lituanien

Ce lundi 11 Avril , le site du parlement lituanien (le Seimas ) a subi une cyber-attaque d’ampleur. L’attaque coïncidait avec la retransmission sur le site du parlement d’une réunion du Congrès mondial des Tatars de Crimée et d’une conférence internationale sur les violations massives des droits de l’homme dans les territoires occupés de Crimée.

L’ attaque DDoS a rendu impossible d’assister à la rediffusion en ligne de l’événement en dehors de la Lituanie. Selon Loreta Grauzinenie, porte-parole du parlement, il s’agirait de la première attaque du genre sur le Seimas .

Si le groupe EzBTC Squad a revendiqué l’attaque sur Twitter, prétextant des motivations financières (réclamant 4 Bitcoins soit 1 600 euros). Toutefois, ce groupe, nouvel émergent sur la scène pirate, a peiné à démontrer la crédibilité de ses menaces et même son implication réelle dans l’attaque.

On peut légitimement se demander si l’attaque DDoS ne serait pas en train de devenir un moyen politique visant à museler administrations, organismes, communautés. On peut aussi tout simplement se demander si le EzBTC Squad est véritablement l’auteur ou s’il essaie de tirer parti de la situation. Le business du DDoS rapporte aussi beaucoup d’argent aux boutiques cachées derrière ces « attaques ».

Mais de fait, puisque la liberté d’expression s’exerce sur Internet, l’attaque DDoS pourrait bientôt s’avérer un outil efficace pour les hacktivistes, groupements d’intérêts, voire les gouvernements souhaitant limiter la liberté d’expression en dehors des frontières sur lesquels leur pouvoir s’exerce. ZATAZ.COM a diffusé, ce dimanche 17 avril, les commentaires d’un de ces groupes d’hacktivistes, Interview de DownSec, manifestant du numérique, des adeptes de la cyber manifestation sous forme de DDoS.

Cybersécurité, DDoS, Justice, Piratage

Un adolescent arrêté pour avoir lancé des attaques DDoS

Un internaute de 15 ans arrêté pour avoir lancé des attaques DDoS contre une école. Une manipulation qui va perturber durant 48 heures l’hébergeur.

Le problème pour certains adolescents agissant sur Internet est de leur faire comprendre qu’une attaque de DDoS n’a rien de génial, de techniquement mirobolant. Non, un DDoS peut se comparer à déverser des poubelles devant une porte d’entrée car l’auteur de cette décharge publique n’a pas les capacités techniques et intellectuelles pour reproduire la clé ou crocheter la serrure qui lui aurait permis de rentrer dans la maison visée. Bref, un DDoS, du bullshit en paquet de 10.

Il a lancé des attaques DDoS 

C’est ce qu’aurait du se dire un adolescent de 15 ans, arrêté le 8 avril dernier en Australie. Le jeune homme a attaqué une école, le Reynella East College. Un DDoS non maîtrisé qui a perturbé, durant 48 heures, l’hébergeur du site de l’école et les clients de l’entreprise. Le piratin signait ses actes sur la toile sous les pseudonyme de Will Star, Purple city et Global line. [Police]

Cyber-attaque, Cybersécurité, DDoS, Justice, loi, Piratage

Attaque informatique de masse à l’encontre de l’Irlande

Une attaque informatique de masse, de type DDoS, a mis au tapis plusieurs sites du gouvernement Irlandais.

Étonnante attaque,  la semaine dernière, que celle vécue par le gouvernement Irlandais. Un certain nombre de portails gouvernementaux ont été contraints de se déconnecter du web en raison d’une cyberattaque à grande échelle. Des services tels que le Central Statistics Office, the Oireachtas ( l’ensemble du corps législatif irlandais), le Ministère de la Justice, de la Défense, ainsi que la cour de justice d’Irlande ont bloqués par des Dénis Distribués de Service, des DDoS.

Des connexions pirates, par millions, lancées par des robots malveillants contrôlés par des inconnus. L’attaque n’a pas été revendiquée, du moins officiellement et publiquement. Quelques jours plus tôt, la Loterie Nationale avait connu une panne de deux heures à cause d’une attaque similaire. Un moyen pour des pirates, du type de ceux arrêtés il y a quelques jours [DD4B], de montrer leur force de frappe à de potentielles victimes prêtes à payer pour ne pas être bloqués ?

BYOD, Cybersécurité, Entreprise, IOT

Les opérateurs telcos & FAI : des cibles de choix pour les pirates

Alors que le nombre de clients et d’objets connectés ne cesse de croître, les opérateurs de télécommunications et fournisseurs d’accès Internet (ISP) doivent plus que jamais assurer le service au client tout en protégeant leur système d’information des attaques informatiques. Ces entreprises doivent toujours fournir des services disponibles et très rapides à leurs clients, même lorsqu’ils sont sous une attaque de type DDoS. Cela suppose de posséder une infrastructure performante et sécurisée prenant en charge de nouvelles charges de travail et des applications comme la téléphonie mobile, le BYOD (Bring Your Own Device) et l’Internet des objets. Mais parviennent-ils à répondre à ces attentes ? Quelles sont leurs méthodes ?

On pourrait croire que les opérateurs et FAI sont les entreprises les plus averties et conscientes des enjeux liés à la sécurité de leurs serveurs DNS. Or, l’expérience montre que lors d’une attaque les systèmes de sécurité traditionnels qu’ils utilisent ne sont pas ou plus adaptés aux nouvelles menaces. L’approche traditionnelle des FAI consiste à empiler les serveurs et les équilibreurs de charge pour soutenir l’augmentation du trafic, même s’ils ne connaissent pas vraiment le profil du trafic et ignorent pourquoi il augmente. Les solutions de sécurité DNS traditionnellement utilisées fonctionnent à “l’aveugle” et ne sont pas en mesure de comprendre ce qu’est réellement le profil de trafic sur ces serveurs. Les applications actuelles sont toutes basées sur le protocole IP et si un serveur DNS ne répond pas avec la performance attendue ou si elle est trop faible, toutes les applications seront inaccessibles ! Une cyberattaque a donc un impact négatif très rapide et directe sur l’entreprise, ses utilisateurs et ses clients. Les entreprises de télécommunication et les FAI se rendent compte que la faible sécurité DNS dégrade Internet et la disponibilité mais n’ont pas la bonne visibilité pour
comprendre et gérer cette infrastructure.

Une sécurité DNS mal gérée pour les telcos
De nombreux opérateurs de télécommunications et fournisseurs de services Internet pensent que le blocage du trafic est LA solution aux problèmes de DNS. Malheureusement, les attaques sont de plus en plus sophistiquées et il est de plus en plus difficile de comprendre le modèle, la source ou la cible d’attaque. Toutefois, bloquer simplement le trafic peut conduire à bloquer celui d’un client important, d’une société ou même un pays si l’information nécessaire à la bonne prise de décison n’est pas disponible. Les récentes attaques sur Rackspace ou DNS Simple ont démontré la limite des solutions de sécurité classique et DDoS, pour protéger les services DNS. L’attaque DDoS du fournisseur de services Rackspace a paralysé ses serveurs DNS pendant 11 heures. Pour faire face à cette attaque, l’entreprise a bloqué le trafic qu’il pensait être à l’origine de l’attaque, malheureusement ils ont admis avoir bloqué aussi du trafic légitime venant de leurs clients. Le même mois, DNSimple fait face une attaque similaire et décide finalement de désactiver le mécanisme de sécurité DDoS du DNS pour retrouver un service normal de résolution de noms.

Dans les deux cas, les entreprises ont pris des mesures radicales qui prouvent que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables.

Des attaques aux conséquences lourdes …
La sécurité du DNS est mal gérée dans de nombreuses organisations informatiques et l’écosystème de la menace est apte à lancer des attaques où le serveur DNS peut être la cible ou un vecteur pouvant entraîner :
– Échec ou lenteur de l’accès à des sites Web et des applications
– Reroutage du trafic Web vers des sites Web non-autorisés et potentiellement criminelles entraînant des vols de données, une fraude d’identité, …

Au-delà de ces dommages, les entreprises de télécommunications investissent énormément dans leur infrastructure (pare-feu, load-balancer, monitoring…) pour faire face aux cyberattaques. Or, ce genre d’administration et de dépenses peuvent paraître excessives quand ces solutions ne savent pas exactement ce qui se passe. Quand on ne peut pas voir la source d’une attaque, y répondre s’avère risqué .

… mais contournables
Un fait important : 95% du trafic se focalise sur un minimum de nom de domaines souvent demandés (Ex : google, Facebook, sites d’informations,…). Partant de ce constat, la priorité est d’être réactif pour assurer un accès à ses utilisateurs, quel que soit le cas de figure. On a pu mesurer qu’en moins de cinq minutes, un opérateur peut perdre l’accès à ces 95% de trafic ; un timing limité pour prendre conscience de l’attaque et prendre une décision pour la contrer efficacement.

Heureusement, certains fournisseurs et éditeurs de solutions de sécurité DNS ont développé des technologies pour voir l’attaque de l’intérieur, ils peuvent donc effectuer une analyse plus fine ; une analyse qui permet de proposer une sécurité adaptative ou graduelle. Dans les cas extrêmes, la solution consiste à ne plus répondre qu’avec les données en cache et refuser les requêtes inconnues. C’est 95% du trafic qui est ainsi traité, ce qui constitue une bonne alternative et permet de gagner du temps pour répondre à la menace. Serait-ce la solution miracle pour limiter l’impact d’une attaque ? Il serait alors possible de mettre à la corbeille les multitudes de pare-feu, serveurs et autres équilibreurs de charge, coûteux en terme de gestion et pesant lourd dans le budget des entreprises de télécommunication. (Par Hervé DHELIN, EfficientIP)

Base de données, Cybersécurité, DDoS, Entreprise, Justice, Piratage

Attaque électronique contre le site de la BBC

La prestigieuse BBC attaquée le 31 décembre par un DDoS violent qui a bloqué durant quelques heures ses sites et espaces de travail.

Un DDoS, lancé jeudi 31 décembre au matin, a bloqué le média britannique BBC durant plusieurs minutes. Une attaque qui a empêché, en interne, de fournir la moindre information sur le site officiel de l’antenne médiatique publique Anglaise. L’ensemble de ses services : replay, mails… étaient injoignables pour le public, comme pour les employés.

Qui derrière ce DDoS ? Plusieurs choix possibles allant du « piratin » qui teste un outil de Dénis Distribués de Services qu’il a loué ; un propagandiste de Daesh. Les choix sont tellement nombreux !

A noter que le site avait encore de sérieux ralentissement en ce 2 janvier. Une attaque qui change de celle orchestrée contre la British Broadcasting Corporation, en décembre 2013, par les pirates Hash et Rev0lver. Ces derniers avaient réussi à mettre la main sur les identifiants de connexion de ftp.bbc.co.uk. Un espace qui permettait aux journalistes et annonceurs de télécharger leurs contenus. Un an auparavant, un pirate iranien s’était invité dans l’espace « Perse » de la BBC [http://www.bbc.com/persian/].

Pour répondre à savoir qui est derrière l’attaque, une piste, qui reste cependant très « lol! ». Le journaliste Rory Cellan-Jones a reçu le message d’un groupe baptisé New World Hackers. Les « pirates » indiquent avoir testé leurs capacités opérationnelles sur le site de la BBC pour, ensuite, lutter contre Daesh ! « Ce n’était qu’un test. Nous n’avions pas l’intention d’empêcher son fonctionnement pendant plusieurs heures« .

A noter que les mêmes zouaves ont attaqué le site de Donald Trump, un autre extrémiste, mais à mille lieux de Daesh ! Bref, ils ont acheté des minutes DDoS et s’en servent !

Chiffrement, cryptage, Cybersécurité, DDoS, Piratage

Trois nouveaux vecteurs d’attaques DDoS

Akamai met en garde contre trois nouveaux vecteurs d’attaques DDoS par réflexion.

Akamai Technologies, Inc. leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte cybersécurité. Akamai a, en effet, observé ces derniers mois trois nouvelles attaques par déni de service distribué (DDoS) utilisant la réflexion.

Qu’est-ce qu’une attaque DDoS par réflexion ?

Une attaque DDoS par réflexion, ou attaque DrDoS, compte trois types d’acteurs: l’attaquant, sa cible et des serveurs, complices malgré eux. L’attaquant envoie une requête simple à un service d’une victime. Ce pirate falsifie (par usurpation d’adresse) sa requête, qui donne l’impression de provenir de la cible. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. Si la réponse de la victime est largement supérieure, en volume, à la requête, le pirate opte pour l’attaque DDoS par réflexion, qui amplifie ses capacités. Il envoie plusieurs centaines ou milliers de requêtes à haut débit à une longue liste de victimes en automatisant le processus avec un outil d’attaque et déclenche, en retour, un flux de trafic indésirable et une interruption par déni de service sur la cible.

« Même si les attaques DDoS par réflexion sont courantes, ces trois vecteurs d’attaques exploitent de manière abusive différents services et, démontrent ainsi que les pirates sondent sans relâche l’Internet pour découvrir de nouvelles ressources dont ils pourront tirer parti », indique à DataSecurityBreach.fr Stuart Scholly, senior vice president et general manager d’Akamai. « C’est comme si aucun service UDP n’était épargné par les auteurs d’attaques DDoS ; il faut donc que les administrateurs de serveurs bloquent les services inutiles ou les protègent des réflexions malveillantes. La quantité de services UDP exploitables pour des attaques DDoS par réflexion sur Internet est stupéfiante. »

Les outils employés pour chacune de ces nouvelles attaques par réflexion sont liés – car tous sont des variantes du même code C. Chaque vecteur d’attaques procède de la même façon : un script envoie une requête via une adresse usurpée à une liste de victimes. Les options de commande en ligne sont identiques.

Attaque DDoS par réflexion via le serveur NetBIOS

L’attaque DDoS par réflexion de type NetBIOS – qui consiste, plus précisément, en une réflexion du protocole NBNS (NetBIOS Name Service) – a été observée sporadiquement par Akamai de mars à juillet 2015. L’objectif principal delde NetBIOS est de permettre à des applications situées sur des ordinateurs distincts de communiquer et d’ouvrir des sessions pour accéder à des ressources partagées et s’identifier les uns les autres sur un réseau local.

Cette attaque génère 2,56 à 3,85 fois plus de trafic de réponse envoyé à la cible que les requêtes initiales adressées par le pirate.. Akamai a observé quatre attaques par réflexion sur le serveur NetBIOS, la plus conséquenteatteignant 15,7 Gbit/s. Bien que les requêtes NetBIOS, légitimes et malveillantes, soient fréquentes, un afflux de réponses a, pour la 1ère fois, été détecté en mars 2015 lors d’une attaque DDoS neutralisée pour un client Akamai.

Attaque DDoS par réflexion via le mécanisme RPC portmap

La première attaque DDoS par réflexion via le mécanisme RPC portmap, observée et neutralisée par Akamai, s’est produite en août 2015 dans le cadre d’une campagne d’attaques DDoS multi-vectorielles. RPC portmap, ce mécanisme indique au client comment appeler une version spécifique du service ONC RPC (Open Network Computing Remote Procedure Call).

Le facteur d’amplification des réponses les plus massives s’est établi à 50,53. Le plus courant était de l’ordre de 9,65. Sur les quatre campagnes d’attaques par réflexion de type RPC neutralisées par Akamai, l’une dépassait 100 Gbit/s, attestant de son extrême puissance. Des requêtes malveillantes visant à déclencher des attaques par réflexion ont été observées par Akamai quasi-quotidiennement à l’encontre de diverses cibles en septembre 2015.

Attaque DDoS par réflexion via Sentinel

La première attaque DDoS par réflexion via Sentinel, observée en juin 2015 à l’université de Stockholm, est associée à une vulnérabilité du serveur de licences SPSS, logiciel d’analyse statistique. Akamai a neutralisé deux campagnes d’attaques DDoS par réflexion de ce type en septembre 2015. Parmi les sources d’attaques figuraient des serveurs performants à forte disponibilité en bande passante, tels que des serveurs universitaires.

Si le facteur d’amplification de cette attaque ressort à 42,94, seulement 745 sources de ce trafic d’attaques sont identifiées. Même avec une bande passante supplémentaire fournie par des serveurs en réseau, une attaque de ce type est limitée par le nombre de réflecteurs disponibles. L’une de ces attaques a culminé à 11,7 Gbit/s.

Neutralisation des attaques DDoS et renforcement des systèmes

Pour ces trois vecteurs d’attaques DDoS, un filtrage en amont peut être éventuellement utilisé pour les neutraliser ; sinon, il faudra faire appel à un prestataire de services spécialisés en mode cloud. L’alerte de cybersécurité propose une règle Snort permettant de détecter les requêtes malveillantes générées par l’outil d’attaque RPC portmap. Des règles similaires peuvent être conçues pour détecter le service Sentinel. « Les administrateurs devraient se demander si ces trois services doivent être accessibles à tous sur Internet », conclut Stuart Scholly. « Probablement non en ce qui concerne NetBIOS. Pour les deux autres, en revanche, il se peut que la réponse soit oui, et le défi consiste alors à les protéger. Les trafics RPC et Sentinel peuvent alors être contrôlés et maîtrisés avec un système de détection des intrusions. »

Cette alerte, qui détaille avec précision ces menaces via NetBIOS name server, le mécanisme RPC portmap et Sentinel, est téléchargeable sur www.stateoftheinternet.com/3-ddos-reflection

Banque, Cybersécurité, DDoS, Entreprise, Linux, Paiement en ligne, Piratage

320 heures d’attaque DDoS en continu

Un commentaire

320 heures : c’est la durée de l’attaque DDoS la plus longue enregistrée par Kaspersky Lab au troisième trimestre 2015, soit près de deux semaines.

Le rapport sur les attaques DDoS a été mené à partir de la surveillance continue des botnets et de l’observation des nouvelles techniques employées par les cybercriminels. Les victimes des attaques DDoS se répartissent dans 79 pays à travers le monde. Les 3 pays les plus touchés sont la Chine, les Etats-Unis et la Corée du Sud. Plus de 90 % des attaques ont duré moins de 24 heures mais le nombre d’attaques dépassant 150 heures est en nette progression. Le nombre le plus élevé d’attaques ciblant une même victime a été de 22, contre un serveur situé aux Pays-Bas. Les cybercriminels semblent prendre des vacances comme tout un chacun, le mois d’août ayant été le plus calme du trimestre en matière d’attaques. Les botnets sous Linux occupent une part importante, étant à l’origine de 45,6 % de toutes les attaques enregistrées, principalement pour des raisons de protection insuffisante et de capacité supérieure de bande passante.

Les banques sont des cibles fréquentes d’attaques complexes et de demandes de rançons. Les attaques moins complexes mais non moins dangereuses sont devenues moins chères à exécuter. Le rapport révèle également que des attaques DDoS visant des serveurs ont été observées dans 79 pays au total, mais, 91,6 % des victimes des attaques DDoS se trouvent dans seulement 10 pays. On notera également que les auteurs d’attaques DDoS ne peuvent pas opérer loin de leur pays de résidence contrairement à d’autres organisations cybercriminelles spécialisées dans le piratage de cartes de crédit par exemple.

De plus amples détails sur la répartition géographique et d’autres caractéristiques des attaques DDoS enregistrées par l’observatoire DDoS Intelligence de Kaspersky Lab figurent dans le rapport complet publié sur le site Viruslist. « D’après nos observations et nos mesures directes, nous ne pouvons pas prédire comment le « business » clandestin des attaques DDoS va évoluer. La menace semble se développer partout. Nous avons enregistré des attaques extrêmement complexes contre des banques, assorties d’une demande de rançon, mais aussi de nouvelles méthodes bon marché destinées à paralyser les activités d’une entreprise pendant une période prolongée. Le volume des attaques augmente, la plupart d’entre elles ayant pour but de frapper, de semer le chaos et de disparaître. Cependant, le nombre des attaques de longue durée, capables d’acculer à la faillite une grande entreprise non protégée, est également en hausse. Ces évolutions de taille obligent les entreprises à prendre des mesures préventives contre la menace bien réelle et le risque accru que représentent les attaques DDoS », commente à Data Security Breach Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.

Pendant ce temps…
L’excellent service de chiffrement de courrier électronique ProtonMail se faisait attaquer à coup de DDoS, au début du mois de novembre. Des rançonneurs qui réclament de l’argent pour que cessent les attaques. ProtonMail a versé 6000 dollars aux assaillants. Ces derniers n’ont cependant pas attaqué l’attaque perturbant les services de l’entreprise Suisse. « En l’espace de quelques heures, les attaques ont commencé à prendre un niveau de sophistication sans précédent » confirme ProtonMail. Impressionnante attaque car l’assaut, coordonné, a visé le FAI de ProtonMail avec des données malveillantes dépassant les 100Gbps. Une attaque visant le centre de données, mais également des routeurs à Zurich, Francfort… Des centaines d’autres entreprises ont été impactées. ProtonMail a payé 6000 dollars, espérant que cesse l’attaque. Ils ont suivi la directive d’un agent spécial du FBI qui invitait les entreprises victimes à payer. Mauvaise idée ! « Cela a été clairement une mauvaise décision, confirme ProtonMail, à tous les attaquants futurs – ProtonMail ne payera plus jamais une autre rançon« . Les maîtres chanteurs, ils signent sous le pseudonyme d’Armada Collective, se sont attaqués à plusieurs autres entreprises helvétiques.

Cyber-attaque, Cybersécurité, DDoS, Entreprise, Mise à jour, Patch, Piratage, ransomware

Le botnet XOR DDoS lance une vingtaine d’attaques par jour

Le nouvel avis d’alerte établit le profil de plusieurs campagnes d’attaques récentes lancées à partir du botnet XOR DDoS. Le botnet XOR DDoS s’est perfectionné, et est à présent capable de déclencher des méga-attaques DDoS à plus de 150 Gbit/s. 90 % des attaques par déni de service distribué, exécutées par le botnet XOR DDoS, ont ciblé des organisations en Asie.

Akamai Technologies, Inc, leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte de cybersécurité faisant état d’une menace révélée par son pôle SIRT (Security Intelligence Response Team). Des pirates informatiques ont créé un botnet capable de mener des campagnes d’attaques par déni de service distribué (DDoS) à plus de 150 Gbit/s au moyen du malware XOR DDoS, un cheval de Troie servant à détourner des systèmes sous Linux.

Qu’est-ce que XOR DDoS ?

Le malware XOR DDoS est un cheval de Troie qui infecte les systèmes Linux, en leur demandant de lancer des attaques DDoS sur demande, pilotées par un pirate à distance. Au départ, le pirate s’empare d’une machine Linux via des attaques par force brute pour découvrir le mot de passe donnant accès aux services SSH (Secure Shell). Une fois cet identifiant obtenu, il se sert des privilèges « root » pour exécuter un script shell Bash qui télécharge et lance le binaire malveillant.

« En un an, le botnet XOR DDoS s’est perfectionné et peut désormais être utilisé pour lancer de gigantesques attaques DDoS », souligne Stuart Scholly, à DataSecurityBreach.fr, vice-président et directeur général de la division Sécurité d’Akamai. « XOR DDoS illustre parfaitement le changement de tactique des pirates qui créent des botnets à partir de systèmes Linux infectés pour lancer des attaques DDoS. Ce phénomène se produit beaucoup plus fréquemment qu’auparavant, lorsque les machines sous Windows étaient les principales cibles des malwares DDoS. »

Attaques par déni de service XOR DDoS

Les travaux du pôle SIRT d’Akamai ont établi que la bande passante des attaques DDoS, déclenchées par le réseau de machines zombies XOR DDoS, était variable, se situant entre moins de 10 Gbit/s et plus de 150 Gbit/s, soit un volume d’attaques extrêmement conséquent. Le secteur des jeux a été le plus souvent ciblé, talonné par l’éducation. Ce botnet attaque jusqu’à 20 cibles par jour, situées pour 90 % d’entre elles en Asie. Le profil de plusieurs des attaques de sa provenance, neutralisées par Akamai, correspond à celles documentées en date des 22 et 23 août dans l’avis. L’une d’elles a frôlé 179 Gbit/s, tandis que l’autre avoisinait 109 Gbit/s. Deux vecteurs d’attaques ont été observés : SYN- et DNS-floods.

Si l’adresse IP du bot est parfois usurpée, elle ne l’est pas systématiquement. Les attaques observées dans le cadre des campagnes DDoS menées à l’encontre des clients d’Akamai, étaient un mélange de trafic usurpé et non-usurpé. Les adresses IP usurpées sont générées de façon à ce qu’elles semblent émaner du même espace d’adressage (blocs /24 ou /16) que celles de l’hôte infecté. Une technique d’usurpation, consistant à modifier uniquement le troisième ou le quatrième octet de l’adresse IP, empêche les fournisseurs d’accès à Internet (FAI) de bloquer le trafic usurpé sur les réseaux protégés par le mécanisme uRPF (Unicast Reverse Path Forwarding) de vérification du chemin inverse.

Neutralisation des attaques XOR DDoS

Des caractéristiques statiques identifiables ont été observées, notamment la valeur TTL de départ, la taille de fenêtre TCP et les options d’en-tête TCP. Ces signatures de charge utile peuvent contribuer à la neutralisation des attaques par déni de service distribué. Elles sont consultables dans l’avis d’alerte. Par ailleurs, des filtres tcpdump sont prévus pour faire face au trafic d’attaques SYN-flood généré par ce botnet.

Détection et éradication du malware XOR DDoS

La présence du botnet XOR DDoS peut être détectée de deux manières. Sur un réseau, il faut repérer les communications entre un bot, ou zombie, et son canal de commande et contrôle (C2) en faisant appel à la règle Snort exposée dans l’avis. Sur un hôte Linux, il faut se servir de la règle YARA qui opère une mise en correspondance des chaînes relevées dans le binaire.

Le malware XOR DDoS est persistant : il exécute des processus qui réinstalleront les fichiers malveillants même s’ils sont supprimés. Par conséquent, son éradication relève d’un processus en quatre étapes pour lesquels plusieurs scripts sont spécifiés dans l’avis :

Localiser des fichiers malveillants dans deux répertoires.
Identifier des processus qui favorisent la persistance du phénomène.
Eradiquer les processus malveillants.
Supprimer les fichiers malveillants.

Akamai continue à surveiller les campagnes exploitant régulièrement le malware XOR DDoS pour déclencher des attaques par déni de service distribué. Pour en savoir plus sur cette menace, sur la suppression de ce malware et sur les techniques de neutralisation DDoS, un exemplaire gratuit de l’avis est téléchargeable à l’adresse www.stateoftheinternet.com/xorddos.

Chiffrement, cryptage, Cybersécurité, DDoS, Entreprise, Piratage, ransomware

L’évolution des techniques d’attaques par déni de service : une menace à reconsidérer

Selon un rapport de sécurité publié par Akamai concernant le 2e trimestre 2015, les attaques par déni de service distribué (DDOS) se sont multipliées au cours des trois derniers trimestres. Ce type d’attaque, qui a principalement pour but de rendre un site, un serveur, un service ou une infrastructure indisponible et inutilisable en submergeant la bande passante de fausses requêtes, aurait même doublé entre 2014 et 2015.

Si elles existent depuis de nombreuses années, il semblerait que la puissance de ces menaces évolue. Le rapport révèle en effet que le nombre de méga-attaques a augmenté, leur fréquence, leur durée et leur sophistication atteignant même des niveaux encore jamais observés. Les pirates informatiques cherchent sans cesse de nouvelles méthodes pour exploiter la moindre vulnérabilité, pénétrer au cœur des systèmes d’information et arriver à leurs fins. Dans le cadre des attaques DDOS, les hackers peuvent utiliser plusieurs techniques pour dissimuler leur présence et la cible réelle de leurs actions. Parmi elles, les attaques dites volumétriques dont le but est de saturer la bande passante du réseau et de l’infrastructure. Mais comme l’indique le rapport d’Akamai, nous assistons également à l’exploitation croissante d’attaques applicatives qui ciblent des services et des applications spécifiques jusqu’à épuisement des ressources. Dans ce cas de figure, le vecteur d’attaque utilise un faible volume de trafic et sollicite beaucoup moins la bande passante, ce qui rend l’action encore plus difficile à détecter.

La plupart des entreprises craignent aujourd’hui d’être la cible de hackers mais pensent être à l’abri avec les solutions ‘traditionnelles’ de sécurité dont elles disposent, telles que des firewalls ou des systèmes de prévention d’intrusion (IPS). Ces outils représentent une première couche de sécurité mais ne suffisent pas à eux seuls pour résister à ces menaces multi-vectorielles et insidieuses d’un nouveau genre. De plus, dans la mesure où une attaque DDOS n’est exploitable que si elle ne sature pas la bande passante, certaines organisations préfèrent augmenter la vitesse de leur connexion plutôt que d’investir dans une solution de sécurité adaptée. Cette option n’est bien entendu, en aucun cas une solution efficace pour protéger ses données et ses ressources durablement.

Face à cette sophistication grandissante des attaques DDOS, les entreprises doivent s’adapter et revoir leur stratégie pour y faire face. Une mesure efficace serait la mise en place d’outils permettant de fournir une surveillance proactive, continue et en temps réel de l’activité sur leur réseau et de l’ensemble des équipements qui composent l’environnement IT. L’adoption de solutions de sécurité dites intelligentes disposant d’un moteur d’analyse puissant est également un atout majeur dans le cadre d’une stratégie globale de sécurité car ils permettent d’identifier la moindre activité anormale ou inhabituelle qui laisserait présager une menace. En combinant la surveillance des réseaux et des utilisateurs, les organisations peuvent avoir une meilleure visibilité en temps réel pour détecter beaucoup plus tôt les éventuelles attaques, et prendre très rapidement les mesures nécessaires pour les neutraliser avant qu’elles ne causent des dommages durables.

Les attaques DDOS ne sont pas nouvelles mais leur diversification et leur complexité changent clairement la donne. Cela signifie notamment que leur ampleur peut devenir plus critique : elles peuvent en effet paralyser les activités vitales d’une entreprise, dans certains secteurs tels que le e-commerce ou la banque en ligne. Si un site est indisponible, ne serait-ce que quelques heures, les pertes financières ainsi que l’impact en termes de réputation et de clientèle peuvent être extrêmement préjudiciables. C’est la raison pour laquelle aucune organisation, quel que soit son secteur d’activité, ne doit sous-estimer le risque qui plane sur ses ressources ni surestimer l’efficacité des solutions de sécurité en place. Il est ainsi primordial de faire évoluer sa stratégie globale et les outils adoptés en fonction de l’évolution du paysage des menaces et des techniques employées par les hackers. (Commentaires de Jean-Pierre Carlin, LogRhythm).