Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w IV kwartale 2017 r.

Tagi:

Przegląd informacji

Pod względem „newsów” dotyczących ataków DDoS ostatni kwartał 2017 roku okazał się barwniejszy w stosunku do poprzedniego. Wykryto i zniszczono kilka znaczących botnetów. Na przykład, na początku grudnia FBI, Microsoft oraz Europol połączyły siły, aby rozbić botnet Andromeda, który działał od 2011 roku. Pod koniec października indyjski zespół CERT (Indian Computer Emergency Response Team) wydał ostrzeżenie dotyczące ogromnego botnetu stworzonego przez ugrupowanie hakerskie przy użyciu szkodliwego oprogramowania Reaper oraz IoTroop; wcześniej tego samego miesiąca wykryto i powstrzymano rozprzestrzenianie się szkodnika Sockbot za pośrednictwem zainfekowanych aplikacji Google Play.   

Oprócz potyczek z opartymi na trojanach botnetami ostatnie trzy miesiące 2017 roku zdominowane były przez trzy główne trendy związane z atakami DDoS: ataki motywowane względami politycznymi, próby zarobienia na rosnącej cenie bitcoina oraz surowsze egzekwowanie prawa.   

Ataki DDoS motywowane względami politycznymi nadal wywołują rozgłos, mimo że są raczej nieskuteczne. Pod koniec października podczas wyborów parlamentarnych w Republice Czeskiej biuro statystyczne tego kraju padło ofiarą ataku DDoS w trakcie liczenia głosów. Atak spowodował tylko nieznaczne zakłócenie, wyniki wyborów zdołano ogłosić na czas.   

Inny protest polityczny wykorzystujący atak DDoS został wymierzony w hiszpański rząd i dotyczył kwestii katalońskiej. Haktywiści z grupy Anonymous zdołali zdjąć stronę internetową hiszpańskiego Sądu Konstytucyjnego oraz włamać się na stronę Ministerstwa Robót Publicznych i Transportu, umieszczając na niej hasło „Wolna Katalonia”.

Jednak polityka to polityka, a biznes to biznes. Jak zauważyliśmy w poprzednim kwartale, bitcoin i wszystko, co z nim związane, zyskał największą popularność handlową – co nie jest w ogóle zaskakujące, biorąc pod uwagę błyskawiczny wzrost jego wartości. Jak tylko w ślad za bitcoinem powstał nowy rodzaj kryptowaluty w postaci Bitcoin Gold (BTG), związane z nim strony internetowe natychmiast znalazły się w ogniu ataków DDoS. Gdy w listopadzie cena tej kryptowaluty poszybowała w górę, na giełdę Bitfinex posypały się ataki DDoS – najwidoczniej w celu zarobienia na wahaniach ceny bitcoina spowodowanych odmową usługi. Wciąż skołowana w wyniku listopadowego ataku giełda Bitfinex została sparaliżowana na skutek dwóch kolejnych szturmów na początku grudnia. 

Jeśli chodzi o całkowite wyłączenie z gry nie można nie wspomnieć zamknięcia czterech podejrzanych platform handlowych znajdujących się „w głębokich czeluściach sieci” wykorzystywanych do wszelkiego rodzaju nielegalnego handlu: Trade Route, Tochka, Wall Street Market oraz Dream Market. Działały one w sposób nieregularny od października. Na początku nie było wiadomo, kto stał za tymi masowymi, dobrze skoordynowanymi atakami: organy ścigania (tak jak w przypadku zniszczenia AlphaBay i Hansa) czy konkurencja próbująca zająć ich terytorium. Ataki, jakie zostały następnie przeprowadzone w grudniu na wszystkie pozostałe platformy handlowe, rozwiały wątpliwość większości analityków, że chodziło o prawdziwą cyberwojnę pomiędzy kartelami narkotykowymi.     

Jednakże  prawo – w szczególności system sądowniczy – nie pozostaje bierne. W IV kwartale postawiono liczne zarzuty i wydano wiele wyroków w sprawach dotyczących ataków DDoS. Najaktywniejszy był amerykański system sądowniczy: w połowie grudnia trzech oskarżonych: Paras Jha, Josiah White oraz Dalton Norman, przyznało się do kierowania botnetem Mirai.

Pod koniec grudnia skazani zostali założyciele niesławnego ugrupowania hakerskiego Lizard Squad oraz PoodleCorp -  Zachary Buchta ze Stanów Zjednoczonych oraz Bradley Jan Willem van Rooy z Holandii.

W Wielkiej Brytanii odbył się proces w głośnej sprawie młodego hakera Aleksa Bessella z Liverpoolu. Bessell został ostatnio posłany do więzienia za przeprowadzenie serii cyberataków w okresie 2011-2013 przeciwko takim gigantom jak Skype, Google oraz Pokemon. Jeszcze młodszy brytyjski haker, który zaatakował NatWest Bank, the National Crime Agency, Vodafone, the BBC oraz Amazon, został skazany na 16 miesięcy pozbawienia wolności w zawieszeniu na dwa lata.      

Ciekawy incydent dotyczył 46-letniego Johna Gammella z Minnesoty, który został oskarżony o skorzystanie z trzech usług hakerskich w celu spowodowania problemów swoim byłym pracodawcom, stronom internetowym systemu sądowniczego zamieszkiwanego przez siebie okręgu oraz kilku innym firmom, w których pracował kiedyś jako kontraktor. Sponsorzy ataków DDoS są często trudni do wyśledzenia, jednak Gammel nie mógł oprzeć się pokusie droczenia się z celami swoich ataków za pośrednictwem wiadomości e-mail – co doprowadziło do jego schwytania. Jak poinformowały organy ścigania, serwisy hakerskie obsłużyły Gammela w sposób bardzo profesjonalny i serdeczny, dziękując mu za zakup usług, a nawet podnosząc jego członkostwo na wyższy poziom.    

Trendy w badanym kwartale

IV kwartał pokazał, że ataki DDoS można sklasyfikować jako ustawiczne „przesłuchy” online. Ruch śmieciowy stał się tak szeroko rozpowszechniony, że awaria serwera w wyniku zbyt dużej liczby zapytań może nie mieć związku z atakiem, ale stanowić przypadkowy skutek uboczny aktywności botnetu. Na przykład w grudniu zarejestrowaliśmy dużą liczbę zapytań do nieistniejących domen poziomu 2 i 3, które spowodowały nietypowe obciążenie serwerów DNS w strefie RU. Winowajcą okazała się modyfikacja trojana Lethic. Ten znany od dawna szkodliwy program występuje w wielu różnych odmianach, a jego głównym zadaniem jest umożliwienie przepływu ruchu spamowego przez zainfekowane urządzenia - coś na kształt serwera proxy.        

Wykryta przez nas wersja różniła się od większości modyfikacji pod tym względem, że działa ona w wielu wątkach w celu utworzenia ogromnej liczby zapytań do nieistniejących domen. Z badania wynika, że zachowanie to było próbą ukrycia adresów serwera kontroli (C&C) pod licznymi śmieciowymi zapytaniami, a nadmierne obciążenie serwerów DNS wynikało po prostu ze złego zaprojektowania szkodliwego oprogramowania. Mimo to ataki DDoS na serwery DNS przy użyciu śmieciowych zapytań są dość powszechne i łatwe do przeprowadzenia. Nasi eksperci pomagali klientom w wielu takich sytuacjach. W tym przypadku interesująca jest zastosowana metoda jak również prawdopodobnie niezamierzony skutek.   

Statystyki dotyczące ataków DDoS przeprowadzanych przy pomocy botnetu

Metodologia

Kaspersky Lab posiada szerokie doświadczenie w zwalczaniu cyberzagrożeń, w tym ataków DDoS o różnej złożoności. Eksperci z firmy śledzą aktywność botnetów przy użyciu systemu DDoS Intelligence. Jako element rozwiązania Kaspersky DDoS Prevention system DDoS Intelligence przechwytuje i analizuje polecenia wysyłane do botów z serwerów kontroli (C&C) i nie potrzebuje do swego działania ani infekcji urządzeń użytkowników, ani rzeczywistego wykonania poleceń cyberprzestępców.   

Ten raport przedstawia dane statystyczne systemu DDoS Intelligence dotyczące IV kwartału 2017 roku.

Do celów tego raportu przyjmuje się, że incydent stanowi oddzielny (pojedynczy) atak DDoS, jeśli przerwa między okresami aktywności botnetu nie przekracza 24 godzin. Na przykład, jeśli ten sam zasób WWW został zaatakowany przez ten sam botnet po upływie co najmniej 24 godzin, wtedy mówimy już o dwóch atakach. Ponadto, zapytania botów pochodzące z różnych botnetów, ale skierowane do jednego zasobu liczą się jako oddzielne ataki.

Położenie geograficzne ofiar ataków DDoS oraz serwerów kontroli wykorzystywanych do wysyłania poleceń jest określane na podstawie ich adresów IP. Liczba unikatowych celów ataków DDoS w tym raporcie jest obliczana na podstawie liczby unikatowych adresów IP odnotowanych w kwartalnych danych statystycznych.

Dane statystyczne systemu DDoS Intelligence ograniczają się jedynie do tych botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Należy również zauważyć, że botnety stanowią zaledwie jedno z narzędzi przeprowadzania ataków DDoS; tym samym, przedstawione w tym raporcie dane nie uwzględniają każdego ataku DDoS, który miał miejsce w badanym okresie.  

Wyniki kwartalne

  • W IV kwartale 2017 roku odnotowano ataki DDoS wymierzone w cele zlokalizowane w 84 państwach (dla porównania, w III kwartale liczba ta wynosiła 98). Jednak, podobnie jak w poprzednim kwartale, zdecydowana większość ataków miała miejsce w dziesięciu najczęściej atakowanych krajach (94,48% w porównaniu z 93,56%).
  • Ponad połowa wszystkich ataków w IV kwartale (51,84%) była wymierzona w cele zlokalizowane w Chinach – niemal bez zmian od III kwartału (51,56%).  
  • Pod względem zarówno liczby ataków jak i liczby celów, na prowadzeniu utrzymują się Korea Południowa, Chiny oraz Stany Zjednoczone. Jednak pod względem liczby serwerów kontroli botnetów, do trójki tej dołączyły Chiny: jej stosunkowy udział dorównywał udziałowi Chin. 
  • Najdłuższy atak DDoS w IV kwartale 2017 r. trwał 146 godzin (ponad sześć dni). Jest to znacznie krótszy czas niż rekord zeszłego kwartału wynoszący 215 godzin (prawie dziewięć dni). Najdłuższy atak 2017 roku (277 godzin) został odnotowany w II kwartale.
  • W dniach poprzedzających i następujących po Czarnym Piątku i Cybernetycznym Poniedziałku miała miejsce wzmożona aktywność na fikcyjnych serwerach linuksowych (pułapki honeypot) trwająca aż do początku grudnia.
  • Najpopularniejszą metodą ataków pozostaje SYN DDoS, natomiast najmniej popularną - ICMP DDoS. Według danych pochodzących z rozwiązania Kaspersky DDoS Protection, częstotliwość ataków przy użyciu wielu różnych metod wzrosła.   
  • W IV kwartale 2017 r. udział botnetów linuksowych zwiększył się nieznacznie do 71,19% wszystkich ataków.  

Geografia ataków

W IV kwartale 2017 roku ataki dotknęły 84 państwa, co stanowi niewielką poprawę w stosunku do poprzedniego kwartału, gdy ataki odnotowano w 98 krajach. Tradycyjnie na linii ognia w największym stopniu znajdują się Chiny, chociaż udział tego państwa pod względem liczby ataków, których był celem, nieznacznie zmniejszył się (z 63,30% do 59,18%), zbliżając się do poziomu z II kwartału. Udziały Stanów Zjednoczonych oraz Korei Południowej, które zachowały odpowiednio drugie i trzecie miejsce, nieznacznie wzrosły do 16,00% i 10,21%.    

Na czwartym miejscu uplasowała się Wielka Brytania (2,70%), która zwiększyła swój udział o 1,4%, prześcigając Rosję. Chociaż spadek udziału ataków na Rosję był nieznaczny (o 0,3%), to wystarczyło, aby zepchnąć to państwo na szóste miejsce za Wietnamem (1,26%), który powrócił do klasyfikacji, wypychając Hong Kong poza pierwszą dziesiątkę.       

1_auto.png

Rozkład ataków DDoS według państwa, III i IV kwartał  2017 r.

Odsetek ataków na cele zlokalizowane w państwach znajdujących się w pierwszej dziesiątce zwiększył się (aczkolwiek nieznacznie) w ostatnim kwartale do niemal 92,90% w stosunku do 91,27% w III kwartale 2017 r. Sytuacja w dużym stopniu nie zmieniła się.  

Około połowa wszystkich celów nadal znajduje się w Chinach (51,84%), a na kolejnym miejscu plasują się Stany Zjednoczone (19,32%), gdzie liczba celów znów zbliża się do 20% po niewielkim spadku w III kwartale; natomiast na trzeciej pozycji znajduje się Korea Południowa z udziałem 10,37%. Wietnam po raz kolejny wypchnął Hong Kong z pierwszej dziesiątki, zajmując dziewiąte miejsce z udziałem 1,13%, natomiast Rosja (1,21%) uplasowała się na siódmym miejscu ze stratą 1%, przepuszczając Wielką Brytanię (3,93%), Francję (1,60%), Kanadę (1,24%) oraz Holandię (1,22%), których udziały nie zmieniły się znacząco w stosunku do wcześniejszego kwartału.               

2_auto.png

Rozkład unikatowych celów ataków DDoS według państwa, III i IV kwartał 2017 r.

Dynamika liczby ataków DDoS

Z analizy statystycznej specjalnie przygotowanych serwerów z systemem Linux – tzw. pułapek honeypot – wynika, że szczytowa aktywność botnetów w tym kwartale miała miejsce w okresie przed i po wyprzedażach świątecznych. Gorączkowa aktywność cyberprzestępcza została zaobserwowana około Czarnego Piątku i Cybernetycznego Poniedziałku i nieco ustała przed upływem 20 grudnia.

Największy wzrost miał miejsce 24 i 29 listopada, kiedy liczba indywidualnych adresów IP atakujących nasze zasoby zwiększyła się dwukrotnie. Pewien wzrost aktywności odnotowano również po koniec października – najprawdopodobniej miało to związek z Halloween.

Takie wahania wskazują na próby powiększenia botnetów przez cyberprzestępców tuż przed największymi wyprzedażami. Okresy przedświąteczne stanowią inkubatory rozwoju cyberprzestępczego z dwóch powodów: po pierwsze, użytkownicy są mniej spostrzegawczy i bardziej skłonni „oddać” swoje urządzenia intruzom; po drugie, perspektywa łatwych pieniędzy pozwala szantażować firmy internetowe utratą zysków lub oferować usługi w zaciekłej rywalizacji online. 

3_auto.png

Dynamika liczby ataków opartych na Linuksie w IV kwartale 2017*
*Wskazuje zmiany w liczbie unikatowych adresów IP co 24 godziny

 

Rodzaje i długość ataków DDoS

W IV kwartale udział ataków SYN DDoS zmniejszył się (z 60,43% do 55,63%) ze względu na mniejszą aktywność botnetu linuksowego Xor DDoS. Mimo to ataki te nadal znajdują się na pierwszym miejscu. Zmniejszył się również odsetek ataków ICMP (3,37%), które nadal są najmniej rozpowszechnione. Zwiększyła się stosunkowa                                                                         częstotliwość innych rodzajów ataków, jednak o ile w poprzednim kwartale ataki TCP uplasowały się na drugim miejscu za atakami SYN, oba te rodzaje ataków przyćmiły ataki UDP, które awansowały z przedostatniej pozycji na drugą (w IV kwartale ataki DDoS UDP stanowiły 15,24% ogółu ataków).       

4_auto.png

Rozkład ataków DDoS według rodzaju, IV kwartał 2017 r.

Roczne statystyki Kaspersky DDoS Protection wskazują na spadek popularności ataków DDoS obejmujących jedynie czyste ataki HTTP i HTTPS flooding. Jednocześnie wzrosła częstotliwość ataków z zastosowaniem wielu różnych metod. Mimo to, jeden na trzy mieszane ataki wykorzystywał metodę HTTP lub HTTPS flood. Być może wynika to z tego, że ataki HTTP(S) są dość drogie i złożone, podczas gdy w ataku mieszanym mogą one zostać wykorzystane przez cyberprzestępców w celu zwiększenia ogólnej skuteczności bez ponoszenia dodatkowych kosztów.   

5_auto.png

Korelacja między rodzajami ataków według Kaspersky DDoS Protection, 2016 i 2017 r.

Najdłuższy atak w IV kwartale był znacznie krótszy niż jego odpowiednik w III kwartale: odpowiednio 146 godzin (około 6 dni) i 215 godzin (około 9 dni). To zaledwie połowa długości ataku stanowiącego rekord w II kwartale i zarazem w całym 2017 roku, który wynosił 277 godzin. Ogólnie udział dłuższych ataków nadal zmniejsza się, chociaż nieznacznie. Dotyczy to również ataków trwających 100-139 jak i 50-99 godzin (udziały tych kategorii ataków są tak niewielkie, że nawet zmiana na poziomie 0,01% jest warta wzmianki). Najpowszechniejsze nadal są mikro-ataki trwające nie dłużej niż cztery godziny: ich udział nieznacznie wzrósł do 76,76% (w porównaniu z 76,09% w III kwartale). Zwiększył się także odsetek ataków trwających 10-49 godzin, ale również nieznacznie – o 1.5%.         

6_auto.png

Rozkład ataków DDoS według długości trwania (w godzinach), III i IV kwartał 2017 r.

 

Rodzaje serwerów kontroli i botnetów

Rozkład państw w pierwszej trójce pod względem liczby serwerów kontroli nie zmienił się i obejmował Koreę Południową (46,63%), Stany Zjednoczone (17,26%) oraz Chiny (5,95%). Jednak chociaż odsetek odnotowany przez dwa ostatnie państwa nieznacznie wzrósł w stosunku do III kwartału, Chiny musiały dzielić trzecie miejsce z Rosją, która odnotowała wzrost o 2%, ponieważ mimo że udział liderów zmienił się nieznacznie pod względem procentowym, w ujęciu bezwzględnym liczba serwerów kontroli wykrytych we wszystkich trzech państwach zwiększyła się niemal o połowę. Przynajmniej częściowo było to spowodowane zamknięciem wielu serwerów administracyjnych botnetu Nitol oraz mniej aktywnego botnetu Xor. Przy okazji warto również dodać, że w pierwszej dziesiątce w tej kategorii pojawiła się również Kanada, Turcja oraz Litwa ( każde państwo z udziałem 1,19%), podczas gdy Włochy, Hong Kong oraz Wielka Brytania znalazły się poza listą.     

7_auto.png


Rozkład serwerów kontroli botnetów według państwa, IV kwartał 2017 r.

W badanym kwartale utrzymał się stały wzrost liczby botnetów linuksowych: ich udział utrzymuje się obecnie na poziomie 71,19% w stosunku do 69,62% w III kwartale. Jednocześnie udział botnetów windowsowych zmniejszył się z 30,38% do 28,81%.

8_auto.png

Korelacja między windowsowymi a linuksowymi atakami botnetowymi IV kwartał 2017 r.

 

Zakończenie

IV kwartał 2017 r. stanowił okres względnego spokoju: zarówno liczba jak i czas trwania ataków DDoS zmniejszyły się w stosunku do poprzedniego kwartału. Ostatnie trzy miesiące 2017 roku były nawet spokojniejsze niż pierwsze trzy. Oprócz rosnącej liczby ataków wielokomponentowych obejmujących różne kombinacje technik SYN, TCP Connect, HTTP flooding oraz UDP flooding, wyłaniający się schemat sugeruje ponowny spadek ogólnej liczby botnetów DDoS. Być może sytuacja gospodarcza lub surowsze egzekwowanie prawa spowodowały, że trudniej jest utrzymywać duże botnety, dlatego ich operatorzy zmienili techniki i zaczęli łączyć komponenty z różnych botnetów. 

Jednocześnie wzrost liczby ataków zarejestrowanych w pułapkach typu honeypot przed świątecznymi wyprzedażami wskazuje na to, że cyberprzestępcy są skłonni rozszerzać swoje botnety w najodpowiedniejszym momencie, aby zarabiać poprzez wywieranie presji na właścicielach zasobów online oraz uniemożliwianie im osiągnięcia zysku. W każdym razie wzrost liczby ataków DDoS w okolicach Czarnego Piątku i Cybernetycznego Poniedziałku stanowił najistotniejszy aspektem badanego kwartału.    

Kolejnym aspektem okresu przypadającego na koniec jesieni/początek zimy były utrzymujące się ataki na giełdy kryptowalut odzwierciedlające trendy w ostatnich miesiącach. Ten zapał ze strony cyberprzestępców nie jest żadną niespodzianką biorąc pod uwagę gwałtowny wzrost ceny kryptowaluty Bitcoin i Monero. O ile nie nastąpi załamanie się kursu wymiany (krótkoterminowe wahania, które jedynie zachęcają spekulantów, nie liczą się), giełdy te pozostaną głównym celem ataków w 2018 roku.   

Co więcej, ostatni kwartał pokazał, że ataki DDoS nie tylko stanowią sposób na osiągnięcie korzyści finansowych lub politycznych, ale mogą również wygenerować przypadkowe skutki uboczne, o czym mogliśmy przekonać się w grudniu zeszłego roku, gdy bot spamowy Lethic wygenerował ruch śmieciowy. Najwyraźniej internet stał się obecnie tak przesycony cyfrowym szumem, że losowy zasób może „oberwać” na skutek aktywności botnetowej, nie będąc celem ataku ani nie stanowiąc jakiejkolwiek wartości dla osób atakujących.