Attaques DDoS au 3e trimestre 2016

Contenu

Evénements du trimestre

« Cybercriminalité en tant que service »

Ces derniers mois ont mis en évidence l’ampleur d’une infrastructure internationale de « cybercriminalité en tant que service », entièrement commercialisée et dont l’organisation d’attaques DDoS d’un volume et d’une complexité technologique jamais vus jusqu’à présent constitue un des services les plus sollicités.

A ce sujet, le rapport IOCTA 2016 sur l’évaluation de la menace du crime organisé sur Internet publié le 28 septembre par Europol et qui repose sur les expériences des autorités judiciaires et policières des pays Membres cite les attaques DDoS en tête des menaces principales au point où toute « entité présente sur Internet, quel que soit son rôle ou son activité, doit se considérer comme une cible des cybercriminels ».

Selon toute vraisemblance, cet état de fait a débuté au début du mois de septembre, lorsque Brian Krebs, un expert en questions de sécurité, a publié une enquête qui décrivait l’activité commerciale d’un des plus grands services de réseau de zombies pour attaques DDoS baptisé vDOS et exploité par deux jeunes hommes en Israël. Alors que les coupables ont été arrêtés et que l’enquête suit son cours, l’ampleur de leur activité est ahurissante.

Grâce à un système d’abonnements disponibles à partir de 19,99 USD par mois, les créateurs de vDOS ont obtenu plus de 600 000 USD au total de plusieurs milliers de clients au cours des deux dernières années. Au cours d’une période de 4 mois entre avril et juillet, ce service a exécuté plus de 277 millions de secondes d’attaques soit environ 8,81 années de trafic d’attaques.

Il n’y a dès lors rien d’étonnant à ce que peu de temps après, une attaque DDoS a mis le site de Brian Krebs hors service avec un volume de trafic proche de 620 Gbits/s, soit une des attaques les plus puissantes jamais vues à ce jour sur Internet. Ce record allait tomber quelques jours plus tard, avec une autre attaque d’une puissance proche de 1 Tbits/s organisée contre OVH en France.. D’après Octava Klaba, directeur technique chez OVH, le vecteur d’attaque serait le même réseau de zombies composé de 152 464 périphériques de l’IdO (webcams, routeurs et thermostats) qui avait mis le site de Brian Krebs hors ligne.

Et comme si la situation n’était pas déjà assez sinistre, des pirates viennent de publier le code source de « Mirai » qui, d’après des experts en sécurité, serait le responsable des attaques DDoS citées ci-dessus. Ce code contient un scanner intégré qui recherche les périphériques IdO vulnérables et les recrute dans le réseau de zombies. Nous devons donc nous attendre à une nouvelle vague de services commerciaux comme vDOS avec de nouvelles attaques DDoS au cours des prochains mois.

L’Internet des Objets devient chaque jour un outil plus puissant pour les individus malintentionnés. Cette tendance est accentuée par l’attitude cavalière aussi bien des fabricants que des utilisateurs sur les questions de sécurité.

Par conséquent, veillez à ce que la sécurité de vos appareils connectés à Internet soit robuste.

Attaque DDoS politiques

Les attaques DDoS sont largement utilisées dans les conflits politiques. Ainsi en juillet, après qu’un tribunal international avait reconnu que les prétentions territoriales de la Chine sur l’archipel des Spratly en mer de Chine méridionale n’étaient pas fondées, au moins 68 sites appartenant à différentes institutions gouvernementales des Philippines ont été victimes de puissantes attaques DDoS. La presse internationale a placé ces incidents dans le contexte d’une campagne de cyberespionnage menée depuis plusieurs années déjà par la République populaire de Chine dans le cadre de sa lutte pour la souveraineté de l’archipel des Spratly.

Attaque contre une société de courtage en bourse

Les cybercriminels ont trouvé les cibles les plus vulnérables aux attaques DDoS. Il s’agit des sociétés de courtage en bourse dont l’activité se caractérise par des revenus élevés et une dépendance extrême sur les services Web. La société taiwanaise First Securities avait reçu une demande de rançon de 50 bitcoins (environ 32 000 USD) de la part d’inconnus. Après avoir essuyé le refus de la société, les individus malintentionnés ont lancé une attaque DDoS contre le site de First Securities, privant ainsi les clients de toute possibilité de réaliser des transactions. Le président de la société avait alors déclaré à la presse qu’il y avait eu un « ralentissement des transactions » qui ne concernait qu’une partie des investisseurs.

Estimation des dommages provoqués par les attaques DDoS

A la demande de Kaspersky Lab, la société B2B International a réalisé l’étude IT Security Risks 2016. D’après les résultats obtenus, les pertes des entreprises provoquées par des attaques DDoS sont en augmentation : une seule attaque DDoS peut coûter plus de 1,6 milliard de dollars américains. Et 8 sociétés sur 10 peuvent être victimes de plusieurs attaques au cours d’une même année.

Tendance du trimestre : attaques DDoS avec SSL

D’après les données de Kaspersky DDoS Protection, le nombre d’attaques DDoS « intelligentes » contre des applications via l’utilisation du protocole HTTPS a augmenté au 3e trimestre 2016. Ces attaques possèdent de sérieux avantages du point de vue de la probabilité de la réussite des attaques.

L’établissement d’une connexion sécurisée requiert d’importantes ressources, même si la vitesse des algorithmes de chiffrement augmente sans cesse (par exemple, un algorithme de chiffrement par courbe elliptique améliore les performances du chiffrement sans réduire sa robustesse). A titre de comparaison, un serveur Web correctement configuré peu traité des dizaines de milliers de nouvelles connexions HTTP par seconde alors que si la nécessité de traiter des connexions chiffrées s’impose, la capacité ne se mesure plus qu’en centaines de connexions par seconde.

L’utilisation d’accélérateurs de chiffrement matériel permet de rétablir la capacité. Toutefois, ceci n’est pas d’une grande aide dans le contexte moderne de la disponibilité à bon prix de serveurs en location et de canaux de communication de grande capacité, sans oublier les vulnérabilités connues qui permettent de mettre en place d’importants réseaux de zombies. Afin de réussir une attaque DDoS, les individus malintentionnés peuvent générer une charge supérieure à la productivité des solutions matérielles coûteuses.

L’exemple traditionnel d’une attaque « intelligente » est la création d’un flux de requêtes dont le volume est relativement faible envoyées à la partie « lourde » d’un site Internet (en règle général, ce sont les formulaires de recherche qui sont visés) au sein d’un petit nombre de connexions chiffrées. Ces requêtes ne se remarquent pratiquement pas dans le flux du trafic et la faible intensité se traduit souvent par une grande efficacité. Le déchiffrement et l’analyse du trafic sont uniquement possibles du côté du serveur Web.

Le chiffrement complique également le travail des systèmes spécialisés de protection contre les attaques DDoS (principalement les solutions appliquées par les opérateurs de communication). Lors de telles attaques, le déchiffrement des données « au vol » en vue d’analyser le contenu des paquets réseau est souvent impossible pour des raisons techniques et de sécurité (impossibilité d’envoyer la clé privée du serveur à des tiers, les restrictions mathématiques empêchent l’accès aux informations dans les paquets chiffrés du trafic en transit). Cela réduit considérablement l’efficacité de la protection contre de telles attaques.

Un autre élément, et non des moindres, qui a contribué à l’augmentation de la part des attaques DDoS « intelligentes » est lié au fait que les attaques par amplification très populaires ces derniers temps sont de plus en plus difficiles à exécuter. Le nombre de serveurs vulnérables qui permettaient d’organiser de telles attaques diminue chaque jour sur Internet. De plus, la majorité de ces attaques partage des caractéristiques similaires grâce auxquelles il est possible de déjouer de telles attaques très facilement et avec une efficacité totale. Autrement dit, ces attaques perdent en efficacité.

L’intérêt des propriétaires de ressources sur Internet pour la protection des informations et l’augmentation du niveau de confidentialité, ainsi que la réduction des coûts de la puissance de calcul, ont donné naissance à une tendance marquée : le protocole HTTP classique est remplacé par HTTPS, ce qui entraîne une augmentation des ressources qui fonctionnent avec le chiffrement. Et le développement des technologies Web favorise la mise en œuvre active du nouveau protocole HTTP/2 dans lequel le mode de fonctionnement sans chiffrement n’est pas pris en charge par les navigateurs modernes.

Nous supposons que le nombre d’attaques avec chiffrement va augmenter. Cela signifie que les développeurs de solutions de protection doivent d’ores et déjà repenser les démarches de la protection contre les attaques distribuées car les solutions existantes pourraient devenir obsolètes à court terme.

Statistiques des attaques DDoS avec utilisation de réseaux de zombies

Méthodologie

Kaspersky Lab compte de nombreuses années d’expérience dans la lutte contre les cybermenaces, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Nos experts suivent l’activité des réseaux de zombies à l’aide du système DDoS Intelligence.

Le système DDoS Intelligence fait partie de la solution Kaspersky DDoS Prevention et vise à intercepter et à analyser les commandes envoyées aux bots par les serveurs de commande, sans besoin d’infecter des périphériques de l’utilisateur ou d’exécuter des commandes des individus malintentionnés.

Le présent rapport présente les statistiques de DDoS Intelligence pour le 3e trimestre 2016.

Dans le cadre de notre analyse, l’activité d’un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures minimum aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérés comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement les réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 3e trimestre 2016, nous avons enregistré des attaques DDoS menées contre des cibles réparties dans 67 pays (contre 70 pays au 2e trimestre 2016).
  • 62,6 % des attaques DDoS ont touché des cibles établies en Chine.
  • S’agissant du nombre d’attaque DDoS et du nombre de cibles, la Chine, les Etats-Unis et la Corée du Sud demeurent en tête. L’Italie fait son entrée dans les deux classements.
  • L’attaque DDoS la plus longue du 3e trimestre 2016 aura duré 184 heures (7,6 jours), soit considérablement moins que le record du 2e trimestre qui avait été de 291 heures (soit, 12,1 jours).
  • C’est un moteur de recherche chinois très utilisé qui aura subi le plus grand nombre d’attaques (19) au cours de la période.
  • SYN-DDoS, TCP-DDoS et HTTP-DDoS demeurent toujours les méthodes d’attaque privilégiées. Ceci étant dit, la part de SYN-DDoS parmi les méthodes d’attaque continue d’augmenter. Elle a progressé de 5 points de pourcentage. Les parts de ICMP-DDoS et TCP-DDoS sont toujours en recul.
  • Au 3e trimestre 2016, la part des attaques menées à l’aide de réseaux de zombies Linux a continué d’augmenter pour atteindre 78,9 % de l’ensemble des attaques identifiées.

Répartition géographique des attaques

Au 3e trimestre 2016, des attaques DDoS ont été enregistrées dans 67 pays. 72,6 % de celles-ci ont touché la Chine (réduction de 4,8 points de pourcentage par rapport au trimestre antérieur). Le Top 10 des pays concentre 97,4 % des attaques. Dans le trio de tête, les Etats-Unis (12 %) ont décroché la 2e position devant la Corée du Sud (6,3 %).

Attaques DDoS au 3e trimestre 2016

Répartition des attaques DDoS par pays T2 2016 et T3 2016

Signalons l’entrée de l’Italie dans ce classement pour ce trimestre (0,6 %). A l’issue du trimestre, le Top 10 compte trois pays d’Europe de l’Ouest (Italie, France et Allemagne).

Au 3e trimestre, les cibles situées dans les pays du Top 10 ont été victimes de 96,9 % des attaques.

Attaques DDoS au 3e trimestre 2016

Répartition des cibles uniques d’attaques DDoS par pays T2 2016 et T3 2016

Les cibles établies en Chine ont attiré 62,6 % des attaques pour ce trimestre, soit un recul de 8,7 points de pourcentage par rapport au trimestre précédent. De leur côté, les cibles situées aux Etats-Unis ont suscité un plus grand intérêt auprès des individus malintentionnés. Leur part a atteint 18,7 %, contre 8,9 au 2e trimestre. La Corée du Sud referme le trio de tête. Sa part a reculé de 2,4 points de pourcentage pour atteindre 8,7 %.

La part des autres pays du Top 10 a augmenté, à l’exception de la France (0,4 %) qui a perdu 0,1 point de pourcentage. Le Japon (1,6 %) et l’Italie (1,1 %), ont chacun progressé de 1 point de pourcentage, ce qui a permis à l’Italie de faire son entrée à la 6e position de ce Top 10 (elle a expulsé l’Ukraine du classement). La part des attaques en Russie a également sensiblement augmenté et passe de 0,8 à 1,1 %.

Ce classement compte lui aussi trois pays d’Europe de l’Ouest : l’Italie, la France et les Pays-Bas.

Dynamique du nombre d’attaques DDoS

La répartition des attaques sur l’ensemble du 3e trimestre 2016 est inégale : une activité intense a été enregistrée entre le 21 juillet et le 7 août, avec deux pics d’activité le 23 juillet et le 3 août. Une chute sensible s’est amorcée à partir du 8 août jusqu’au 14 août, début d’une accalmie relative qui a duré jusqu’au 6 septembre. Le nombre le plus faible d’attaques a été enregistré le 3 septembre (22 attaques). Le nombre le plus élevé a quant à lui été enregistré le 3 août : 1 746 attaques. Il faut signaler qu’il s’agit du chiffre le plus élevé pour les trois trimestres de 2016. La majorité de ces attaques a touché les serveurs d’un même fournisseur établis aux Etats-Unis.

Attaques DDoS au 3e trimestre 2016

Dynamique du nombre d’attaques DDoS*, T3 2016

*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

Le jour de la semaine le plus tendu en matière d’attaques DDoS aura été le vendredi, avec 17,3 % des attaques, suivi par le jeudi, avec 15,2 %. Le lundi aura été au cours de ce trimestre le jour comptant le moins d’attaques DDoS (12,6 %), alors qu’il était en 2e position au trimestre précédent.

Attaques DDoS au 3e trimestre 2016

Répartition des attaques DDoS par jour de la semaine,T2 et T3 2016

Types et durée des attaques DDoS

La répartition des attaques DDoS en fonction des méthodes d’exécution n’a pas connu de grands bouleversements : la part d’utilisation de la méthode SYN-DDoS a à nouveau augmenté et passe de 76 à 81 %. La part des autres méthodes a quelque peu chuté. C’est ICMP-DDoS qui affiche le recul le plus marqué avec 2,6 points de pourcentage.

Attaques DDoS au 3e trimestre 2016

Répartition des attaques DDoS par type, T2 et T3 2016

La part des attaques de courte durée (4heures maximum) a progressé de 9,2 points de pourcentage au 3e trimestre pour atteindre 69 %. Les attaques d’une durée comprise entre 5 et 9 heures maintiennent leur position et la part des attaques de longue durée a connu une chute sensible. Le recul le plus marqué a été observé au niveau des attaques d’une durée comprise entre 100 et 149 heures. Alors qu’elles représentaient 1,7 % des attaques au 2e trimestre, elles n’atteignaient plus que 0,1 % pour ce trimestre. Les attaques de plus longue durée se sont limitées à quelques cas uniquement.

Attaques DDoS au 3e trimestre 2016

Répartition des attaques DDoS par durée T2 et T3 2016

Le record de durée d’une attaque au 3e trimestre est également modeste : 184 heures seulement (l’attaque visait un fournisseur chinois). Ce résultat est loin derrière l’attaque de 291 heures enregistrée au trimestre dernier. S’agissant du nombre d’attaques contre la même cible, la première place revient à un moteur de recherche chinois qui aura été attaqué à 19 reprises au 3e trimestre.

Serveurs de commande et types de réseaux de zombies

Au 3e trimestre, la majeure partie (45,8 %) des serveurs de commande que nous avons identifiés se trouvait en Corée du Sud. Il s’agit d’un recul manifeste dans la mesure où ce chiffre était de 69 % au 2e trimestre.

Le trio de tête composé de la Corée du Sud, de la Chine et des Etats-Unis maintient ses positions, même s’il n’accueille plus que 67,7 % des serveurs de commande, contre 84,8 au trimestre précédent.

Il convient de noter la hausse du nombre de serveurs de commande actifs dans les pays d’Europe de l’Ouest : le Top 10 contient en effet les Pays-Bas (4,8 %), la Grande-Bretagne (4,4 %) et la France (2 %). Rappelons également que 3 pays d’Europe de l’Ouest se retrouvent dans le classement des pays selon le nombre d’attaques et dans le classement selon le nombre de cibles visées.

Parmi les autres nouveautés du classement, citons Hong Kong et l’Ukraine, chacun avec 2 %.

Attaques DDoS au 3e trimestre 2016

Répartition des serveurs de commande de réseaux de zombies par pays, T3 2016

Au 3e trimestre, les bots Linux ont consolidé leur position dominante : la part d’attaques organisées à l’aide de bots Linux a continué sa progression et est passée de 70,8 % au 2e trimestre à 78,9 % au 3e trimestre. Cela correspond à la hausse de popularité des attaques SYN-DDoS pour lesquels les bots Linux sont l’outil le mieux adapté. De plus, ceci peut s’expliquer également par la popularité croissante des périphériques IdO Linux utilisés dans le cadre d’attaques DDoS. Et cette tendance va certainement continuer à se développer suite à la fuite du code de Mirai.

Attaques DDoS au 3e trimestre 2016

Rapport entre les attaques réalisées à l’aide de réseaux de zombies Windows et Linux, T2 et T3 2016

Signalons que la tendance, amorcée au trimestre antérieur, se maintient. Jusqu’alors, la différence entre les parts des réseaux de zombies Windows et Linux ne dépassait pas 10 points de pourcentage au cours de plusieurs trimestres.

L’écrasante majorité des attaques, soit 99,8 %, est toujours organisées à l’aide de bots d’une même famille. L’utilisation de bots de deux familles différentes dans des attaques contre une même cible a été constatée dans 0,2 % des cas.

Conclusion

Les attaques de réseaux de zombies « classiques » qui reposent sur des outils malwares largement répandus comme Pandora, Drive et compagnie sont bien connues des experts qui ont mis au point des méthodes simples et efficaces pour les neutraliser. Cela pousse les individus malintentionnés à trouver des méthodes d’organisation d’attaques de plus en plus subtiles, notamment avec le chiffrement de données, et à aborder le développement d’outils pour l’organisation d’attaques et la création de réseaux de zombies sous un autre angle.

L’autre tendance intéressante de ce trimestre est l’augmentation de l’activité des réseaux de zombies DDoS en Europe occidentale. Pour la première fois en un an, le Top 10 des pays attaqués reprend 3 pays d’Europe de l’Ouest, à savoir l’Italie, la France et l’Allemagne. Cette statistique confirme l’augmentation du nombre de serveurs de commande actifs en Europe de l’Ouest également, et plus particulièrement en France, en Grande-Bretagne et aux Pays-Bas. Globalement, près de 13 % des serveurs de commande actifs de réseaux de zombies DDoS se trouvent dans des pays d’Europe de l’Ouest.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *