Attaques DDoS au 4e trimestre 2015

Contenu

Evénements du trimestre

Nous avons choisi les événements survenus au cours du trimestre qui d’après nous représentent les principales tendances en matière d’attaques DDoS et d’outils employés pour les organiser :

  1. apparition de nouveaux vecteurs pour l’organisation d’attaques DDoS par « réflexion » ;
  2. augmentation du nombre de réseaux de botnets composés d’objets connectés vulnérables ;
  3. attaques au niveau des applications – le « cheval de trait » qui se cache derrière les scénarios d’attaques DDoS.

Attaques organisées à l’aide d’applications Internet compromises sous WordPress

Les ressources Internet gérées par le système de gestion de contenu (CMS) WordPress sont prisées par les cybercriminels qui organisent des attaques DDoS. Le fait est que WordPress utilise la fonction Pingback qui signale à l’auteur d’une publication sur un site WordPress qu’un lien vers celle-ci a été publié sur d’autres ressources gérées également par ce CMS. En cas de publication sur un site où la fonction Pingback est activée d’un billet contenant un lien vers une autre ressource Internet, une requête XML-RPC spéciale est envoyée au site vers lequel le lien mène et cette ressource l’accepte et le traite. Suite au traitement, la ressource de destination peut envoyer une requête à la ressource d’origine afin de vérifier la présence de contenu.

Cette technologie permet d’attaquer une ressource Internet (victime) : le bot envoie à un site WordPress (avec fonction Pingback) une requête pingback dans un format spécial qui signale l’adresse de la ressource de la victime comme ressource d’origine. Ensuite, ce site WordPress traite la requête du bot et envoie la réponse à l’adresse de la victime. En envoyant des requêtes pingback avec l’adresse de la victime à un nombre élevé de ressources WordPress dont la fonction Pingback est activée, les individus malintentionnés parviennent à surcharger considérablement la ressource de la victime. C’est pour cette raison que les ressources Internet gérées par WordPress avec la fonction Pingback activée sont intéressantes pour les individus malintentionnés.

Au 4e trimestre, les cybercriminels ne se sont pas limités aux sites compatibles avec la fonction Pingback. Ils ont réalisé des opérations massives de compromission de ressources administrées par WordPress. Ceci s’explique peut être par la détection de vulnérabilités de type  » zero day  » dans ce CMS ou dans un de ses plug-ins très utilisé. Toujours est-il que nous avons détecté des cas d’insertion dans le corps des ressources Internet d’un code JavaScript qui contactait la ressource victime au nom du navigateur de l’utilisateur. Les individus malintentionnés utilisaient une connexion HTTPS chiffrée afin de rendre le filtrage du trafic plus compliqué.

Une de ces attaques DDoS suivies par les experts de Kaspersky Lab a atteint une puissance de 400 Mbits/s et elle a duré 10 heures. Au cours de cette attaque, les individus malintentionnés avaient utilisé des applications Internet sous WordPress compromises, ainsi que le chiffrement de la connexion pour compliquer le filtrage du trafic.

Réseaux de botnets et objets connectés

En octobre 2015, les experts ont enregistré un volume considérable de requêtes HTTP (jusqu’à 20 000 requêtes par seconde) en provenance de caméras de vidéosurveillance. Les chercheurs ont identifié près de 900 caméras à travers le monde qui avaient été recrutées dans un réseau de zombies et utilisées dans le cadre d’attaques DDoS. D’après les experts, il faut s’attendre dans un avenir proche à l’apparition de nouveaux réseaux de botnets bâtis sur des objets connectés vulnérables.

Trois nouveaux vecteurs pour l’organisation d’attaques DDoS par « réflexion »

Les attaques DDoS par réflexion sont des attaques qui exploitent les lacunes de configuration chez un tiers pour augmenter la puissance de l’attaque. Le 4e trimestre aura été le témoin de la découverte de trois nouveaux vecteurs pour l’organisation d’attaques de cette catégorie. Les individus malintentionnés envoient aux sites cible du trafic via des serveurs NS NetBIOS, des services RPC de contrôleur de domaine connectés via un port dynamique ainsi que des serveurs WD Sentinel.

Attaques contre des services de messagerie

Les services de messagerie ont remporté un grand succès au 4e trimestre auprès des individus malintentionnés qui organisent des attaques DDoS.

Ainsi, le groupe cybercriminel Armada Collectives a été actif : il a utilisé des attaques DDoS afin de faire chanter ses victimes. Ce groupe criminel serait impliqué dans l’attaque menée contre le système de messagerie électronique sécurisé Protonmail. Les criminels avaient exigé le versement d’une somme de 6 000 dollars pour mettre un terme à l’attaque.

Outre le service de messagerie sécurisée Protonmail, les attaques ont touché d’autres services comme FastMail et la Poste russe.

Statistiques des attaques DDoS avec utilisation de réseaux de botnets

Méthodologie

Kaspersky Lab compte de nombreuses années d’expérience dans la lutte contre la cybercriminalité, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Les experts suivent les actions des réseaux de botnets à l’aide du système DDoS Intelligence.

Le système DDoS Intelligence fait partie de la solution Kaspersky
DDoS Prevention
et vise à intercepter et à analyser les commandes envoyées aux bots par les serveurs de commande, sans besoin d’infecter les périphériques de l’utilisateur ou d’exécuter les commandes des individus malintentionnés.

Le présent rapport contient les statistiques de DDoS Intelligence compilées pour le 4e trimestre 2015.

Dans le cadre de notre analyse, l’activité d’un réseau de botnets est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de botnets avec un intervalle de 24h ou plus aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de botnets contre une même ressource sont également considérées comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement sur les réseaux de botnets découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 4 e trimestre 2015, les attaques DDoS ont touché des cibles réparties dans 69 pays.
  • Les ressources de 10 pays ont subi 94,9 % des attaques enregistrées.
  • Aussi bien au niveau du nombre d’attaques que du nombre de cibles, la Chine, les Etats-Unis et la Corée du Sud demeurent les pays les plus prisés pour les attaques DDoS.
  • L’attaque DDoS la plus longue du 4 e trimestre 2015 aura duré 371 heures (15,5 jours).
  • SYN-DDoS, TCP-DDoS et HTTP-DDoS demeurent toujours les méthodes d’attaque privilégiées.
  • La popularité des bots Linux poursuit son augmentation : les réseaux de zombies Linux ont été responsables de 54,8 % des attaques au 4 e trimestre.

Répartition géographique des attaques

À la fin de l’année 2015, la géographie des attaques DDoS touchait 69 pays. 94,9 % des attaques ont touché des cibles situées dans 10 pays.

Par rapport au 3e trimestre, la part des cibles d’attaques DDoS situées en Chine et en Corée du sud a sensiblement augmenté au 4e trimestre. Pour la Chine, elle est passée de 34,5 à 50 % et pour la Corée du sud, de 17,7 à 23,2 %.

q4_ddos_2015_fr_1

Répartition des cibles uniques d’attaques DDoS par pays T3 et T4 2015

La part des cibles d’attaques situées aux Etats-Unis a reculé de 8 points de pourcentage, ce qui a permis à la Corée du sud de se hisser à la 2e place, tandis que les Etats-Unis chutent en 3e position.

La Croatie (0,3 %) qui a enregistré un recul de 2,5 points de pourcentage et la France, dont la part est passée de 1,1 à 0,7 %, ont quitté le Top 10. Elles ont été remplacées par Hong Kong, qui conserve son indice du trimestre antérieur, et par Taïwan, en progression de 0,5 point de pourcentage.

Les statistiques sur le nombre d’attaques montrent que 94 % de l’ensemble des attaques ont touché ce même groupe de dix pays :

q4_ddos_2015_fr_2

Répartition des attaques DDoS par pays T3 et T4 2015

Le trio de tête au 4e trimestre reste inchangé. La seule variation est la permutation de positions entre les Etats-Unis et la Corée du sud. La part de la Corée du sud a progressé de 4,3 points de pourcentage tandis que celle des Etats-Unis a reculé de 11,5 points de pourcentage. La croissance la plus marquée de cet indicateur est à mettre au compte du leader du Top 10, la Chine dont la part a progressé de 18,2 points de pourcentage.

Dynamique du nombre d’attaques DDoS

Au 4e trimestre 2015, la répartition du nombre d’attaques DDoS par jour est restée pratiquement inchangée, à l’exception d’un pic à la fin du mois d’octobre et d’une augmentation de l’activité au cours de la première moitié du nom de novembre.

Le nombre le plus élevé d’attaques (1 442) a été enregistré le 2 novembre. Le nombre le plus bas (163) a quant à lui été enregistré le 1er octobre.

q4_ddos_2015_fr_3

Dynamique du nombre d’attaques DDoS*, T4 2015

*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

Au 4e trimestre, les attaques DDoS ont surtout frappé le lundi et le mardi. Et par rapport au 3e trimestre, le lundi enregistre une augmentation du nombre d’attaques de 5,7 points de pourcentage. Les résultats du mardi n’ont pratiquement pas changé (-0,3 point de pourcentage).

q4_ddos_2015_fr_4

Répartition des attaques DDoS selon les jours de la semaine, T4 2015

Types et durée des attaques DDoS

Au 4e trimestre 2015, dans le cadre des attaques menées contre 97,5 % des cibles, les individus malintentionnés ont utilisé des bots appartenant à une famille (au 3e trimestre, cet indice était quelque peu supérieur et avait atteint 99,3 %). Des bots de deux familles (utilisés par un ou plusieurs exécutants) n’ont attaqué que 2,4 % des cibles au cours du trimestre. Des bots issus de trois familles, le plus souvent Sotdas, Xor et BillGates, ont été utilisés dans les attaques contre 0,1 % des cibles.

Le classement des méthodes d’attaques DDoS utilisées par les individus malintentionnés n’a pas changé. Les méthodes les plus répandues, à savoir SYN-DDoS (57,0 %) et TCP-DDoS (21,8 %) ont progressé respectivement de 5,4 et 1,9 points de pourcentage.

q4_ddos_2015_fr_5

Répartition des attaques DDoS par type

Au 4e trimestre, les attaques de courte durée (moins de 24 heures) dominent, avec une grande longueur d’avance, la répartition des attaques en fonction de la durée

q4_ddos_2015_fr_6

Répartition des attaques DDoS selon la durée (heures)

La durée maximale des attaques au cours de ce trimestre a de nouveau diminué. Alors que le record au 3e trimestre avait été établi par une attaque de 320 heures (13,3 jours), le 4e trimestre aura vu une attaque de 371 heures (15,5 jours).

Serveurs de commande et types de réseaux de botnets

Au 4e trimestre 2015, la Corée du sud mène le classement au niveau du nombre de serveurs de commande situés sur son territoire. Sa part a une fois de plus progressé (2,4 points de pourcentage). La part des Etats-Unis a un peu diminué et passe de 12,4 à 11,5 % tandis que l’indice de la Chine progresse de 1,4 points de pourcentage.

L’ordre du trio de tête est inchangé. Les pays en 4e et 5e ont échangé leur place : la part de la Russie est passée de 4,6 à 5,5 % tandis que la part du Royaume-Uni a reculé de 4,8 à 2,6 %.

q4_ddos_2015_fr_7

Répartition des serveurs de commande de réseaux de zombies par pays, T4 2015

Au 4e trimestre 2015, au niveau de l’activité des bots développés pour les familles Windows et Linux, nous avons observé la progression des réseaux de botnets Linux qui passent de 45,6 à 54,8 %.

q4_ddos_2015_fr_8

Rapport entre les attaques de réseaux de botnets Windows et Linux

Conclusion

Les événements de ce trimestre ont démontré que les cybercriminels qui organisent les attaques DDoS utilisent non seulement les réseaux de botnets classiques composés de postes de travail et d’ordinateurs personnels, mais également toutes les ressources vulnérables disponibles. Il peut s’agir d’applications Internet, de serveurs et d’objets connectés. Vu l’émergence de nouveaux vecteurs pour l’organisation d’attaques DDoS par  » réflexion « , il faut s’attendre dans un avenir proche à une nouvelle augmentation de la puissance des attaques DDoS et à l’apparition de réseaux de botnets composés d’appareils vulnérables d’un nouveau genre.

Related Articles

Il y a 1 commentaire
  1. Christophe G.

    4eme trimestre? Ah vous êtes trop forts… Dans trimestre il y a « tri » qui signifie 3 pas 4… Je sait pas ou vous l’avez trouvé votre 4eme trimestre…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *