Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w I kwartale 2018 r.

Tagi:

Przegląd wiadomości

Na początku stycznia pojawiły się doniesienia, jakoby haker amator prawie przeprowadził atak botnetowy przy użyciu „improwizowanych” materiałów. Uzbrojony w informacje zdobyte na forach hakerskich, ten „cyfrowy majsterkowicz” stworzył trojana wykorzystując lukę dnia zerowego w ruterach Huawei i udostępnił go online. Atak został szybko zduszony w zarodku, ale aspirującego cyberprzestępcy nie dało się wyśledzić.      

Jeśli chodzi o pozostałe wiadomości, nieco większej wagi: po pierwsze, eksperci poinformowali o wzroście botnetu Reaper (lub IoTroop) (nie należy go mylić z północnokoreańskim ugrupowaniem hakerskim The Reaper), który został po raz pierwszy wykryty w zeszłym kwartale; po drugie, portale poświęcone bezpieczeństwu IT wspominały o pojawieniu się nowych „odmian” botnetów Mirai i Satori, jednak jak dotąd nie ma żadnych szczegółów na ten temat. Co więcej, na początku lutego wykryto i zneutralizowano platformę sprzedającą usługi botnetu JenX. Jako swój serwer kontroli JenX wykorzystywał serwer związany z grą wideo GTA: San Andreas. Pod względem mocy JenX nie był żadną rewelacją, jednak na wzmiankę zasługuje oryginalność jego twórców. W temacie oryginalnych botnetów warto również wspomnieć o DoubleDoor: pierwszym znanym szkodliwym oprogramowaniu „występującym na wolności”, które połączyło dwie luki w zabezpieczeniach Internetu Rzeczy.         

Jeśli chodzi o nowe metody i luki w zabezpieczeniach, oprócz dziury w systemie Memcached, w zeszłym kwartale pojawiły się wiadomości o luce w zabezpieczeniach WordPress, która ułatwia spowodowanie awarii serwera WWW. Na szczęście nie zaobserwowano żadnych ataków „na wolności”.     

Cele ataków w przypadku tej nowej broni pozostały w większości takie same. Głównym motywem ataków DDoS nadal jest chęć osiągniecia zysku (liczba ataków na firmy w samej tylko Rosji podwoiła się w 2017 r.), choć liczba znanych „komercyjnych” ataków zmniejszyła się na przestrzeni ostatnich trzech miesięcy. Przez trzy dni na początku lutego gracze Final Fantasy napotkali problemy podczas logowania się do pewnych serwisów. W mniej więcej tym samym czasie z podobnymi trudnościami borykał się przez ponad tydzień BusinessWire – ani edytorzy ani czytelnicy nie mogli uzyskać dostępu do tego portalu informacyjnego. Nie pojawiły się żadne informacje na temat żądania okupu, dlatego można przyjąć, że motywem ataku była konkurencja.    

Nie można nie wspomnieć o serii ataków, które uderzyły w GitHub oraz nieznanego dostawcę usług na początku marca, generując rekordowe ilości ruchu śmieciowego – ponad 1 TB/s. Taka ilość została wygenerowana dzięki wykorzystaniu Memcached, popularnej usługi pamięci podręcznej dla serwerów Linux. Co ciekawe, w niektórych z tych ataków sam ruch śmieciowy zawierał żądania okupu w walicie Monero.   

Mniej powszechnymi, niemniej jednak bardziej nagłaśnianymi motywami ataków DDoS są względy polityczne. Najbardziej chwytliwym medialnie incydentem w ostatnim czasie była naturalnie groźba sabotażu ceremonii otwarcia Igrzysk Olimpijskich na początku lutego, najprawdopodobniej przy użyciu ataku DDoS. Jeszcze wcześniej, pod koniec stycznia, Departament Obrony Stanów Zjednoczonych walczył z zalewem spamu, a pod koniec marca jego rosyjski odpowiednik zmagał się z atakiem DDoS. Ponadto, według ekspertów, swój zasięg rozszerza północnokoreańskie ugrupowanie The Reaper. Mimo że nie wykazuje jeszcze żadnej aktywności DDoS, wkrótce może pójść w tym kierunku.     

Inny poważny atak DDoS, tym razem na znane instytucje finansowe w Holandii, wydawał się początkowo motywowany względami politycznymi, jednak po dokładniejszym zbadaniu okazał się czystym przejawem huligaństwa: policja holenderska aresztowała nastoletniego podejrzanego, który spowodował trwający tydzień chaos w kilku bankach tylko po to, żeby udowodnić swoje możliwości.

Atak DDoS staje się również coraz popularniejszym narzędziem zemsty z pobudek osobistych. Przykładem tego może być David Goodyear z Kalifornii, którego unzano winnym próby przeprowadzenia ataku DDoS na amatorskie forum astronomiczne, gdzie został wciągnięty na czarną listę za wulgarny język. Nie można mu jednak zarzucić, że przed wstąpieniem na drogę cyberprzestępczości nie próbował innych metod: Goodyear wielokrotnie rejestrował się na forum pod różnymi nikami, jednak za każdym razem był blokowany za niekulturalne zachowanie.       

Trendy kwartału

Ze względu na swoją wydajność i stosunkowo łatwą dostępność usługa Memcached została wykorzystana w najbardziej sensacyjnym ataku w zeszłym kwartale. Jednak to może być krótkotrwały trend, co wyjaśnimy poniżej. 

Pod koniec lutego z działem pomocy odpowiedzialnym za rozwiązanie Kaspersky DDoS Protection skontaktowała się firma w związku z nieprzeciętnie dużym obciążeniem swojego kanału komunikacyjnego z powodu, jak podejrzewała, ataku DDoS.   

Na pierwszy rzut oka wszystko rzeczywiście wskazywało na typowy atak DDoS: kanał był „zatkany”, a użytkownicy nie mogli uzyskać dostępu do serwisów firmy. Jednak w toku dochodzenia ustaliliśmy, że na jednym z serwerów klienta został zainstalowany serwer linuksowy CentOS z podatną na ataki usługą Memcached. Usługa ta, wykorzystywana przez cyberprzestępców podczas ataku, generowała ogromne ilości ruchu wychodzącego, który powodował przeciążenie kanału. Innymi słowy, klient ten nie był celem, ale nieświadomym wspólnikiem w ataku DDoS: osoby atakujące wykorzystały jego serwer jako tzw. amplifier. Po zastosowaniu zaleceń Kaspersky Lab szkodliwy ruch pasożytniczy ustał.

Tego rodzaju sytuacja jest typowa dla ataków z wykorzystaniem usługi Memcached: właściciele porwanych, podatnych na ataki serwerów zauważają wzrost obciążenia i spieszą załatać wszelkie możliwe luki, aby nie ponieść jeszcze większych strat związanych z przestojem. W efekcie gwałtownie zmniejsza się liczba dziurawych serwerów, które mogą być wykorzystane do przeprowadzania tego rodzaju ataków. Z tego też powodu ataki wykorzystujące Memcached mogą wkrótce ustać.  

Mimo to pierwszy kwartał pokazuje, że liczba ataków DDoS Amplification - choć wcześniej odnotowywała spadek - znów zaczęła wzrastać. Cyberprzestępcy będą prawdopodobnie szukać innych niestandardowych metod typu amplification poza wykorzystywaniem usługi Memcached. W zeszłym kwartale, na przykład, odnotowaliśmy dość rzadki (choć skuteczny) rodzaj ataku typu Amplification, w którym jako amplifier wykorzystano usługę LDAP. Obok Memcached, NTP oraz DNS, usługa ta posiada jeden z największych współczynników wzmocnienia (amplification factor). Mimo stosunkowo niewielkiej liczby dostępnych serwerów LDAP tego typu atak może okazać się hitem w nadchodzących miesiącach.      

Statystyki dotyczące ataków DDoS opartych na botnecie

Metodologia

Kaspersky Lab posiada szerokie doświadczenie w zwalczaniu cyberzagrożeń, w tym ataków DDoS różnej złożoności, różnego typu oraz zasięgu. Eksperci z firmy śledzą działania botnetów przy pomocy systemu DDoS Intelligence. 

W ramach rozwiązania Kaspersky DDoS Protection system DDoS Intelligence przechwytuje i analizuje polecenia wysyłane do botów z serwerów kontroli; aby mógł działać, nie muszą zostać zainfekowane urządzenia użytkowników ani wykonane rzeczywiste polecenia przez cyberprzestępców.    

Przedstawiany raport zawiera statystyki systemu DDoS Intelligence obejmujące I kwartał 2018 roku.

Do celów tego raportu przyjmuje się, że incydent stanowi oddzielny (pojedynczy) atak DDoS, jeśli odstęp między okresami aktywności botnetu nie przekracza 24 godzin. Na przykład, jeśli ten sam zasób WWW został zaatakowany przez ten sam botnet w dwóch falach w odstępie co najmniej 24 godzin, wtedy mówimy o dwóch atakach. Ponadto, zapytania botów pochodzące z różnych botnetów, ale skierowane do jednego zasobu, liczą się jako oddzielne ataki.

Położenie geograficzne ofiar ataków DDoS oraz serwerów kontroli wykorzystywanych do wysyłania poleceń jest określane na podstawie ich adresów IP. Liczba unikatowych celów ataków DDoS w tym raporcie jest obliczana na podstawie liczby unikatowych adresów IP zgodnie z kwartalnymi danymi statystycznymi.

Dane statystyczne systemu DDoS Intelligence ograniczają się jedynie do tych botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Należy również zauważyć, że botnety to tylko jedno z wielu narzędzi przeprowadzania ataków DDoS; tym samym, przedstawione w tym raporcie dane nie uwzględniają każdego ataku DDoS, który miał miejsce w badanym okresie.  

Wyniki kwartału

  • W I kwartale 2018 r. odnotowano ataki DDoS wymierzone w cele zlokalizowane w 79 krajach (84 w poprzednim kwartale). Jak zawsze, zdecydowana większość (95,14%) miała miejsce w dziesięciu najczęściej atakowanych krajach.
  • Jeśli chodzi o cele ataków, jak zwykle około połowa była zlokalizowana w Chinach (47,53%), chociaż udział tego państwa był nieco mniejszy w stosunku do poprzedniego kwartału.
  • Liczba ataków i celów odnotowała znaczny wzrost, podobnie jak liczba długotrwałych ataków. Najdłuższy atak DDoS trwał 297 godzin (ponad 12 dni), co czyni go jednym z najdłuższych w ostatnich latach.
  • Udział botnetów linuksowych nieznacznie zmniejszył się, do 66%, w porównaniu z poprzednim kwartałem (71%).
  • Znaczne wzrosty liczby i siły cyberataków zaobserwowano w połowie stycznia i na początku marca, podczas gdy okres w połowie kwartału był stosunkowo spokojny.

Geografia ataków

Chiny bez trudu utrzymały najwyższą pozycję pod względem liczby ataków: udział tego państwa pozostał niemal niezmieniony, nieznacznie zwiększając się z 59,18% do 59,42%. Udział znajdujących się na drugim miejscu Stanów Zjednoczonych (17,83%) zwiększył się już nieco bardziej – o 1,83%. Brązowy medal po raz kolejny zdobyła Korea Południowa, jednak jej udział zmniejszył się o ponad 2% - z 10,21% do 8%.      

Wielka Brytania (1,30%) spadła z czwartego miejsca na piąte. Dziesiąte miejsce w I kwartale 2018 r. przypadło Rosji, której udział zmniejszył się z 1,25% do 0,76%. Holandia i Wietnam wypadły z pierwszej dziesiątki, za to ponownie weszły do niej Hong Kong (z solidnym 3,67% udziałem w porównaniu z 0,67% w IV kwartale 2017 r.) i Japonia (1,16%).     

180426-ddos-report-q1-2018-en-1_auto.png

Rozkład ataków DDoS według państw, I kwartał 2018 r. i IV kwartał 2017 r.

Jeśli chodzi o rozkład celów ataków, pierwsze miejsce ponownie należało do Chin, pomimo spadku udziału tego państwa z 51,84% do 47,53%. Z kolei znajdujące się na drugim miejscu Stany Zjednoczone odnotowały wzrost udziału z 19,32% do 24,10%. Trzecie miejsce zajęła Korea Południowa (9,62%). Znaczącą zmianę pozycji w szeregu odnotowała Francja: państwo to spadło z piątego miejsca na dziewiąte przy tylko nieznacznym zmniejszeniu się jego udziału (o zaledwie 0,65%).       

Z pierwszą dziesiątką najczęściej atakowanych państw pożegnała się Rosja i Holandia. Do zestawienia wszedł natomiast Hong Kong (4,76%) - i to od razu na czwarte miejsce - oraz Japonia (1,6%), która uplasowała się na szóstej pozycji. Ogólnie, w badanym kwartale łączny udział państw z pierwszej dziesiątki nieznacznie zwiększył się do 94,17% w stosunku do 92,9% z końca 2017 r.         

180426-ddos-report-q1-2018-en-2_auto.png

Rozkład unikatowych celów ataków DDoS według państw, IV kwartał 2017 r. i I kwartał 2018 r.

Dynamika liczby ataków DDoS

Większość aktywności w I kwartale miała miejsce w pierwszym i ostatnim miesiącu. Największą liczbę ataków odnotowano 19 stycznia (666) oraz 7 marca (687 ataków). Było to prawdopodobnie związane z przypadającą na ten czas końcówką noworocznego okresu świątecznego (liczba ataków zaczęła wzrastać około drugiego tygodnia stycznia) oraz marcową wyprzedażą (w związku z Międzynarodowym Dniem Kobiet). Najspokojniejsze dni odnotowano w mniej więcej tym samym czasie: 16 stycznia i 11 marca. Środek kwartału był stosunkowo stabilny bez znaczących wzrostów czy zauważalnych spadków.     

Najspokojniejszym dniem tygodnia w zeszłym kwartale była niedziela, w którą przeprowadzano jedynie 11,35% wszystkich ataków.

180426-ddos-report-q1-2018-en-3_auto.png

Rozkład ataków DDoS według dnia tygodnia, IV kwartał 2017 r. oraz I kwartał 2018 r.

Rodzaje i czas trwania ataków DDoS

Udział ataków typu SYN-DDOS zwiększył się nieznacznie (z 55,63% do 57,3%), jednak nie nastąpiła powtórka sytuacji z poprzednich kwartałów. Udział ataków ICMP wzrósł niemal dwukrotnie, z 3,4% do 6,1%. Jednocześnie ataki typu UDP, TCP oraz HTTP floods musiały ustąpić nieco miejsca: ich udział zmniejszył się o 1-2% w stosunku do poprzedniego kwartału.   

180426-ddos-report-q1-2018-en-4_auto.png

Rozkład ataków DDoS według rodzaju, I kwartał 2018 r.

Po okresie spokoju charakteryzującego koniec 2017 r. nastąpił powrót długotrwałych ataków: najdłuższy trwał 297 godzin (12,4 dni). Chociaż brakuje mu jeszcze do rekordu światowego, jest to niewątpliwie długi atak. Żeby wskazać dłuższy, trzeba byłoby cofnąć się do końcówki 2015 roku.    

Udział wszystkich innych długotrwałych ataków (co najmniej 50 godzin) zwiększył się ponad sześciokrotnie, z 0,10% do 0,63%. Na drugim końcu spektrum wzrósł również udział najkrótszych ataków (do 9 godzin): o ile w zeszłym kwartale stanowiły one 85,5% wszystkich ataków, obecnie stanowią 91,47%. Z kolei liczba ataków trwających od 10 godzin do trzech dni zmniejszyła się niemal o połowę, z 14,85% do 7,76%.     

180426-ddos-report-q1-2018-en-5_auto.png

Rozkład ataków DDoS według długości trwania (godziny), IV kwartał 2017 r. i I kwartał 2018 r.

W pierwszej dziesiątce państw o największej liczbie serwerów kontroli nastąpiło poważne przetasowanie: z rankingu wypadły Kanada, Turcja, Litwa oraz Dania, podczas gdy Włochy, Hong Kong, Niemcy oraz Wielka Brytania odnotowały awans. Z kolei pierwsza trójka pozostała praktycznie bez zmian: Korea Południowa (30,92%), Stany Zjednoczone (29,32%) oraz Chiny (8,03%). Jedynie Rosja (2,01%), która pod koniec 2017 r. uplasowała się na trzecim miejscu razem z Chinami, spadła na dziewiąte miejsce.     

Udział Stanów Zjednoczonych zwiększył się niemal dwukrotnie, znacząco zbliżając to państwo do wieloletniego lidera – Korei Południowej. Wzrósł również udział Włoch (6,83%), które w zeszłym kwartale nawet nie zakwalifikowały się do pierwszej dziesiątki, Holandii (5,62%) oraz Francji (3,61%). Skok ten spowodowany był gwałtownym wzrostem liczby kont C&C dla botów Darkai (w Stanach Zjednoczonych, we Włoszech, Holandii oraz Francji) oraz AESDDoS (w Chinach).   

180426-ddos-report-q1-2018-en-6_auto.png

Rozkład serwerów kontroli botnetów według państw, I kwartał 2018 r.

Udział botnetów linuksowych w zeszłym kwartale nieznacznie zmniejszył się w stosunku do końca 2017 r. - do 66% z 71%. Jednocześnie, udział botnetów opartych na Windowsie wzrósł z 29% do 34%.  

180426-ddos-report-q1-2018-en-7_auto.png

Korelacja między atakami przy użyciu botnetów windowsowych na linuksowych, I kwartał 2018 r.

Zakończenie

W I kwartale 2018 r. obserwowaliśmy znaczny wzrost zarówno łącznej liczby jak i długości trwania ataków DDoS w stosunku do IV kwartału 2017 roku. W głównie mierze przyczyniły się do tego nowe botnety oparte na Linuksie: Darkai (klon Mirai) oraz AESDDoS. Wzrosła również liczba ataków Xor. Również botnety windowsowe nie pozostawały bezczynne, zbliżając się nieco do Linuksa pod względem łącznej liczby ataków. Szczególnie „pracowity” - niemal pięciokrotnie bardziej aktywny – okazał się botnet Yoyo.    

Zwiększyła się również liczba ataków mieszanych, obejmujących kilka rodzin botnetów. Jest to wyraźna kontynuacja trendu, o którym mówiliśmy pod koniec zeszłego roku: aby zoptymalizować wydatki, osoby atakujące angażują niewykorzystane części botnetów w celu generowania ruchu śmieciowego, rozmieszczając je wśród swoich celów.   

Na cyberscenę powróciły ataki typu Amplification, w których wykorzystywano głównie usługę Memcached. Spodziewamy się jednak, że właściciele serwerów szybko zauważą nadmierny ruch śmieciowy i załatają luki w zabezpieczeniach, co zmniejszy popularność tego typu ataków. Osoby stojące za atakami DDoS będą prawdopodobnie szukały innych metod przeprowadzania ataków typu Amplification, jedną z nich może być usługa LDAP.