Attaques DDoS au 1er trimestre 2016

Contenu

Evénements du trimestre

Nous avons choisi les événements survenus au cours du 1er trimestre 2016 qui d’après nous représentent les principales tendances dans le domaine des attaques DDoS et des outils employés pour les organiser.

Record de puissance pour une attaque DDoS par réflexion

Les attaques DDoS qui exploitent les techniques de réflexion/d’amplification sont toujours d’actualité et permettent aux individus malintentionnés d’établir de nouveaux records de puissance. Du point de vue technique, la méthode de l’amplification n’est pas une nouveauté dans l’organisation d’attaques distribuées visant à provoquer un déni de service, mais les individus malintentionnés découvrent de nouvelles possibilités et ressources pour développer la puissance de leurs réseaux de zombies. Ainsi, d’après un rapport d’experts publié récemment, l’attaque la plus puissante de 2015 a enregistré un pic de 450 à 500 Gbits/s.

Attaque DDoS contre Donald Trump

Il se peut que le record de puissance de l’attaque enregistré en 2015 ne tienne pas longtemps. Pendant les fêtes de fin d’année, les ressources officielles de la BBC ainsi que le site de campagne électorale de Donald Trump ont été victimes d’une attaque DDoS dont la puissance aurait atteint, selon des sources non confirmées, 602 Gbits/s. Celle-ci avait été revendiquée par le groupe de pirates New World Hacking.

Utilisation du protocole DNSSEC

Pour pouvoir organiser ces attaques DDoS, les cybercriminels utilisent de plus en plus souvent le protocole DNSSEC dont la tâche consiste à minimiser les attaques qui visent à substituer les adresses DNS. Une réponse standard via le protocole DNSSEC contient, en plus des données relatives aux domaines, des informations d’authentification complémentaires. Ainsi, à la différence d’une réponse DNS standard dont la taille est de 512 octets, une réponse DNSSEC atteint environ 4 096 octets. Les individus malintentionnés exploitent cette particularité afin d’organiser des attaques DDoS par amplification. Ils utilisent généralement des domaines de la zone .gov pour la bonne et simple raison qu’aux Etats-Unis, la loi impose la prise en charge de DNSSEC par ces domaines.

Attaques Pingback contre WordPress

Les sites gérés par WordPress sont à nouveau victimes d’attaques DDoS organisées à l’aide de réseaux de zombies formés également par des systèmes de gestion du contenu WordPress. Des attaques DDoS sont organisées sur des ressources qui utilisent le célèbre système CMS. Elles exploitent la fonction pingback de WordPress. Pingback est une technologie de notification qui prévient l’auteur d’une publication lorsqu’un internaute quelconque publie un lien vers cette publication. Si l’administrateur du site géré par WordPress a activé cette fonction, tous les liens publiés dans les pages de ce site peuvent réaliser la fonction « pingback », à savoir envoyer une requête XML-RPC spéciale au site original. Si le volume de données des requêtes pingback atteint un volume trop important, le site d’origine peut se retrouver en « déni de service ». Cette fonction suscite toujours l’intérêt des individus malintentionnés et leur permet d’organiser des attaques au niveau applicatif.

Compromission de Linux Mint

Le 21 février 2016, Clément Lefebvre, directeur de Linux Mint, a annoncé que des individus malintentionnés étaient parvenus à s’introduire dans l’infrastructure du projet, y compris sur le site officiel et dans le forum, et qu’ils avaient substitué le lien vers une image ISO légitime de la distribution Linux Mint 17.3 Cinnamon par leur propre URL. La distribution des pirates contenait un code malveillant qui exploite les machines infectées pour organiser des attaques DDoS.

Attaque contre un résistant aux attaques DDoS

Des cybercriminels ont attaqué la société californienne Staminus Communications, spécialisée dans l’offre d’hébergement et de solutions de sécurité contre les attaques DDoS. Les individus malintentionnés ont déjà publié sur Hastebin les données personnelles volées des clients de la société.

Attaques contre des sociétés du secteur de la sécurité de l’information

Les cybercriminels n’oublient pas les sociétés qui travaillent dans le secteur de la sécurité de l’information. Tous les acteurs plus ou moins connus de ce marché, et plus particulièrement les prestataires des services de lutte contre les DDoS, sont amenés à repousser régulièrement des attaques DDoS organisées contre leurs ressources. Ces actions ne sont pas en mesure de provoquer de véritables dégâts car il faut bien reconnaître que ces infrastructures sont bien protégées, mais cela ne tracasse pas les individus malintentionnés.

En règle générale, les criminels ne se fixent pas la tâche d’attaquer une société de sécurité de l’information à n’importe quel prix. Les attaques sont de courte durée. Dans la majorité des cas, elles cessent dès que la source détecte l’activation des systèmes de protection car, après tout, les individus malintentionnés ne souhaitent pas épuiser les réseaux de zombies dont l’utilisation coûte de l’argent. Mais à long terme, les attaques ne vont pas cesser.

L’analyse des messages échangés sur les forums clandestins permet d’avancer l’hypothèse selon laquelle la communauté cybercriminelle utilise les attaques contre les sociétés de sécurité de l’information dans le cadre d’essais de nouvelles méthodes ou de nouveaux outils. Cette démarche n’est pas pire qu’une autre et elle nous donne de précieuses informations. Alors que les statistiques relatives aux DDoS à travers le monde nous permettent de dresser le tableau de la situation actuelle, les attaques contre les sociétés de sécurité de l’information nous permettent, quant à elles, d’évaluer d’une certaine façon l’avenir des DDoS.

Les données relatives à la tactique, à la puissance et aux types d’attaques qui visent les sites de Kaspersky Lab permettent également d’identifier les tendances dans le secteur des DDoS pour les prochains mois.

Nous sommes toujours confrontés à des attaques par amplification. Leur nombre a quelque peu diminué par rapport à l’année dernière, mais la puissance maximale a quant à elle quadruplé. Cela confirme la tendance du renforcement général de ces attaques : les individus malintentionnés sont obligés de développer la puissance pour déjouer les mesures de protection mises en place par les F.A.I. et les sociétés de sécurité de l’information. En ce qui nous concerne, aucune des attaques dont nous avons été victimes n’a empêché l’accès à nos sites.

D’après la série d’attaques organisées contre Kaspersky Lab au 1er trimestre 2016, l’élite des cybercriminels commence à réactiver des méthodes d’attaques devenues moins populaires ces dernières années et concentrent leurs efforts au niveau applicatif. Rien que pour le 1er trimestre de cette année, nous avons repoussé un nombre d’attaques HTTP(s) plusieurs fois supérieur à celui enregistré pour l’ensemble de l’année 2015. Ce qui est intéressant, c’est que nous avons observé plusieurs attaques de niveau applicatif organisées simultanément sur plusieurs de nos ressources. En fait, la puissance des ressources DDoS avaient été réparties sur plusieurs cibles, ce qui avait réduit l’effet sur chacune de celles-ci. Une explication possible serait que les individus malintentionnés ne cherchaient pas à perturber le fonctionnement des sites de Kaspersky Lab, mais simplement tester des outils et à étudier nos réactions. L’attaque la plus longue de cette vague a duré moins de 6 heures.

Nous pouvons supposer que la part des attaques contre les canaux va progressivement diminuer et que les attaques contre les applications ou les attaques combinées (mélange d’attaque contre le matériel et les applications) vont occuper le devant de la scène.

Les puissantes attaques UDP avec amplification sont apparues il y a plusieurs années et jusqu’à ce jour, elles demeurent l’outil préféré des individus malintentionnés. Les raisons de cette popularité sont tout à fait compréhensibles : elles sont faciles à mettre en œuvre, elles permettent d’atteindre une puissance très élevée à l’aide d’un réseau de zombies relativement modeste, elles font généralement intervenir un tiers et il est très difficile d’identifier la source de l’attaque.

Alors qu’au cours du 1er trimestre 2016 notre service Kaspersky DDoS Prevention a continué à repousser des attaques UDP par amplification, nous nous attendons à ce qu’elles disparaissent progressivement. Les efforts de coordination entre les F.A.I. et les acteurs de la sécurité de l’information pour un filtrage efficace du trafic indésirable généré par les attaques UDP semblent enfin avoir abouti. Les F.A.I. confrontés à la menace réelle de la saturation des canaux en raison d’un volume important de paquets UDP ont investi dans le matériel et les compétences nécessaires et ils étouffent ce trafic à la source. Autrement dit, les attaques par amplification sur les canaux vont perdre en efficacité et, par conséquent, il sera plus difficile de gagner de l’argent via celles-ci.

Les attaques au niveau applicatif contre des services Internet requièrent de grands réseaux de zombies ou plusieurs serveurs ultraperformants et un large canal sortant, sans oublier des préparatifs minutieux au niveau de l’analyse de la cible et de l’identification de ses points faibles. Sans cela, elles sont inefficaces. Une attaque de niveau applicatif qui a été soigneusement organisée est difficile à repousser sans bloquer l’accès aux utilisateurs légitimes : les requêtes malveillantes semblent légitimes et chaque bot réalise comme il se doit la procédure d’établissement d’une connexion. La seule anomalie est l’importante charge sur le service. Nous avons observé des tentatives de ce genre au 1er trimestre. Cela signifie que le marché des DDoS s’est développé au point où les attaques complexes et chères à mettre en place sont plus rentables et les cybercriminels qui tentent de gagner de l’argent grâce à celles-ci sont plus qualifiés.

Il existe un danger bien réel de voir l’adoption de ces méthodes par la masse des cybercriminels : plus une technique est populaire, plus le nombre d’outils permettant de l’exploiter offert sur le marché noir augmentent. Et si les attaques au niveau applicatif deviennent vraiment populaire, nous devrons nous attendre à une augmentation du nombre de commanditaires d’attaques DDoS de cette catégorie et au renforcement des qualifications des exécutants.

Statistiques des attaques DDoS avec utilisation de réseaux de zombies

Méthodologie

Kaspersky Lab compte de nombreuses années d’expérience dans la lutte contre la cybercriminalité, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Les spécialistes de la société surveillent l’activité des réseaux de zombies à l’aide du système DDoS Intelligence.

DDoS Intelligence fait partie de la solution Kaspersky DDoS Prevention dont le rôle est l’interception et l’analyse des commandes envoyées aux bots par les serveurs de commande. Elle ne requiert pas l’infection de périphériques quelconques, ni l’exécution des commandes des individus malintentionnés.

Ce rapport contient les statistiques de DDoS Intelligence pour le 1er trimestre 2016.

Dans le cadre de notre analyse, l’activité d’un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures ou plus aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérées comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il faut signaler que les statistiques de DDoS Intelligence se limitent uniquement aux réseaux de zombies détectés et analysés par Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas un représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 1er trimestre 2016, des cibles réparties dans 74 pays ont été exposées à des attaques DDoS (ce nombre était de 69 au 4e trimestre 2015).
  • Les ressources de 10 pays ont été impliquées dans 93,6 % des attaques.
  • Aussi bien au niveau du nombre d’attaques qu’au niveau du nombre de cibles des attaques DDoS, le trio de tête est encore une fois composé de la Chine, des Etats-Unis et de la Corée. Il faut toutefois signaler l’entrée dans ce Top 10 de pays européens comme la France et l’Allemagne.
  • L’attaque la plus longue enregistrée au 1er trimestre 2016 a duré 197 heures (8,2 jours), ce qui est bien inférieur au maximum du trimestre précédent (13,9 jours). Nous avons observé plusieurs attaques contre une même cible (jusqu’à 33 attaques contre une ressource au cours de la période).
  • Les méthodes d’attaques les plus utilisées demeurent SYN-DDoS, TCP-DDoS et HTTP-DDoS. Par contre, le nombre d’attaques UDP continue de diminuer trimestre après trimestre.
  • En général, les serveurs de commande se situent toujours dans les mêmes pays qu’au trimestre précédent. La position de l’Europe d’après cet indice a toutefois fortement changé : la Grande-Bretagne et la France affichent une augmentation sensible.

Répartition géographique des attaques

Au début de l’année 2016, des attaques DDoS ont été enregistrées dans 74 pays.

Les statistiques sur le nombre d’attaques montrent que 93,6 % de l’ensemble des attaques DDoS ont touché dix pays.

Attaques DDoS au 1er trimestre 2016

Répartition des attaques DDoS par pays, T1 2016 et T4 2015

Le trio de tête au 1er trimestre 2016 n’a pas changé, même si la part de la Corée du Sud a sensiblement augmenté (elle passe de 18,4 à 20,4 ) tandis que la part des Etats-Unis affiche une réduction de 2,2 %. Signalons aussi l’augmentation du nombre d’attaques visant, au 1er trimestre 2016, des ressources situées en Ukraine (de 0,3 à 2,0 %).

Les statistiques de la répartition des cibles uniques d’attaques que des cibles situées dans 10 pays ont été victimes de 94,7 % de l’ensemble des attaques.

Attaques DDoS au 1er trimestre 2016

Répartition des cibles uniques d’attaques DDoS par pays, T1 2016 et T4 2015

Le nombre de cibles en Corée du Sud a augmenté de 3,4 points de pourcentage. De son côté, l’indice de la Chine est passé de 50,3 % au 4e trimestre 2015 à 49,7 % au 1er trimestre 2016. La part de cibles d’attaques DDoS aux Etats-Unis a également diminué (9,6 % des cibles, contre 12,8 % au trimestre précédent). Le trio de tête des pays conserve sa position, loin devant les autres.

Au 1er trimestre 2016, le Top 5 des leaders au niveau du nombre de cibles d’attaques DDoS a vu l’entrée de l’Ukraine qui a progressé d’à peine 0,5 % à la fin de l’année dernière à 1,9 % au 1er trimestre 2016.

Taïwan et les Pays-Bas, qui ont perdu respectivement 0,8 et 0,7 %, quittent le Top 10 à l’issue de ce trimestre.

Dynamique du nombre d’attaques DDoS

Au 1er trimestre 2016, la répartition des attaques par jour, à l’exception d’une forte chute le 6 février, est relativement homogène. Le pic des attaques a été enregistré le 31 mars (1 271 attaques).

Attaques DDoS au 1er trimestre 2016

Dynamique du nombre d’attaques DDoS*, T1 2016

*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

A l’instar de ce qui avait été observé au trimestre précédent, le jour préféré pour l’organisation d’attaques DDoS demeure le lundi (16,5 % des attaques), suivi du jeudi (16,2 %). Le mardi, qui occupait la 2e position au trimestre précédent, a chuté (de 16,4 à 13,4 %) et occupe désormais la dernière position du classement des jours par activité DDoS.

Attaques DDoS au 1er trimestre 2016

Répartition des attaques DDoS selon les jours de la semaine

Types et durée des attaques DDoS

Le classement des méthodes d’attaques DDoS préférées ne change pratiquement pas de trimestre en trimestre. Les techniques le plus souvent utilisées demeurent SYN-DDoS, dont la part a légèrement diminué au 1er trimestre 2016 (de 57,0 à 54,9 %) et TCP-DDoS, qui enregistre une perte de 0,7 %. ICMP-DDoS enregistre une forte progression pour atteindre une part de 9 %. Les positions au sein du Top 5 restent toutefois inchangées.

Attaques DDoS au 1er trimestre 2016

Répartition des attaques DDoS par type

Signalons que l’indice de UDP-DDoS chute déjà depuis un an. Depuis le 2e trimestre 2015, sa part a été presque divisée par 10, pour passer de 11,1 à 1,5 %.

Au niveau de la durée, comme pour le rapport précédent, près de 70 % des attaques ont été de courte durée (4 heures maximum). La durée maximale d’une attaque a sensiblement diminué. Alors qu’au 4e trimestre 2015, nous avions enregistré une attaque qui avait duré 333 heures, l’attaque la plus longue du 1er trimestre 2016 n’a duré que 197 heures.

Attaques DDoS au 1er trimestre 2016

Répartition des attaques DDoS selon la durée (heures)

Serveurs de commande et types de réseaux de zombies

Au 1er trimestre 2016, la Corée du Sud mène sans conteste le classement des serveurs de commande installés dans le pays. Sa part a légèrement augmenté et passe de 59 % au rapport précédent à 67,6 %.

La Chine occupe la 2e position, avec une progression de 8,3 à 9,5 %. Ce faisant, la Chine repousse les Etats-Unis en 3e position (6,8 % contre 11,5 % au 4e trimestre 2015). Pour la première au cours de la période observe, la France fait son entrée dans le classement des pays par nombre de serveurs de commande, ce qui correspond aux statistiques sur l’augmentation du nombre d’attaques dans ce pays.

Attaques DDoS au 1er trimestre 2016

Répartition des serveurs de commande de réseaux de zombies par pays, T1 2016

Au 1er trimestre 2016, les individus malintentionnés ont utilisé des bots d’une famille dans des attaques contre 99,73 % des cibles. Des bots issus de familles différentes (utilisés par un ou plusieurs auteurs d’attaques) ont attaqué au cours de ce trimestre 0,25 % des cibles. Des bots de trois familles différentes ont été utilisés dans les attaques contre 0,01 % des cibles. Les familles de bots les plus utilisées demeurent Sotdas, Xor et BillGates.

Attaques DDoS au 1er trimestre 2016

Rapport entre les attaques de réseaux de zombies Windows et Linux

Au 1er trimestre 2016, la balance entre les réseaux de zombies Windows et Linux a penché du côté de Windows. Pour la troisième fois consécutive, la différence entre les plateformes est d’environ 10 %.

Conclusion

Les événements du 1er trimestre démontrent une fois de plus que les individus malintentionnés ne se reposent pas sur leurs lauriers et qu’ils augmentent leur puissance de calcul pour réaliser des attaques DDoS. Les scénarios d’amplification, devenu l’outil par excellence pour l’organisation de puissantes attaques, exploitent les lacunes des nouveaux protocoles de réseau. Les motifs de ces attaques sont toujours les plus divers : campagnes électorales et attaques contre les sites de candidats, « règlements de compte » entre des groupes criminels ou entre concurrents sur le marché noir. Dans de rares cas, l’attaque DDoS vise des organisations spécialisées dans la protection contre ces attaques. Si l’on tient compte de la présence des périphériques et des postes de travail vulnérables et des nombreuses erreurs de configuration au niveau des applications, on se rend compte que le coût de l’organisation d’une attaque plus ou moins sérieuse diminue. C’est la raison pour laquelle il faut compter sur une protection fiable qui éliminera toute possibilité de rentabilité pour des attaques commanditées.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *