Attaques DDoS au 4e trimestre 2016

Contenu

Survol de l’actualité

Sans aucun doute, 2016 aura été l’année des attaques DDoS, tant au niveau des technologies employées, que de l’ampleur des attaques et de leur impact sur notre vie quotidienne. De fait, l’année s’est terminée sur des attaques DDoS d’une ampleur jamais vue jusque là qui ont exploité la technologie du réseau de zombies Mirai dont l’émergence avait été abordée dans la dernière édition de notre Rapport DDoS Intelligence.

Depuis ce rapport, nous avons publié plusieurs autres rapports détaillés consacrés aux attaques de grande envergure lancées contre l’infrastructure de système de nom de domaine (DNS) de Dyn et contre Deutsche Telekom. Cette attaque avait mis 900 000 utilisateurs allemands hors ligne en novembre. Nous avons également assuré le suivi d’attaques similaires qui ont visé des fournisseurs d’accès Internet (FAI) en Irlande, au Royaume-Uni et au Liberia. Toutes ces attaques exploitaient des dispositifs de l’Internet des objets (IdO) commandés par la technologie Mirai et ciblaient en partie des routeurs domestiques afin de créer des réseaux de zombies.

Bien que le titre ‘Rise of the Machines‘ choisi par l’Institute for Critical Infrastructure Technology (ICIT) pour son analyse soit sensationnaliste, il montre clairement que les intervenants du monde entier, et plus particulièrement aux Etats-Unis dans l’Union européenne, reconnaissent qu’il existe un manque de sécurité lié au design fonctionnel des dispositifs de l’IdO et qu’il est temps de mettre en place un écosystème de sécurité commun pour l’IdO. Il faut agir vite, car nous nous attendons à l’apparition de nouvelles modifications du réseau de zombies Mirai et à une augmentation généralisée de l’activité des réseaux de zombies de l’IdO en 2017.

Globalement, les attaques DDoS dont nous avons été témoins jusqu’à présent ne sont que le point de départ de projets de différents acteurs qui souhaitent recruter des dispositifs de l’IdO dans leurs réseaux de zombies, tester la technologie Mirai et développer des vecteurs d’attaque. Les attaques DDoS menées contre cinq grandes banques russes au mois de novembre illustrent parfaitement ce point.

Tout d’abord, elles prouvent une fois de plus que les services financiers tels que les plateformes d’échange et de chaînes de blocks de bitcoins comme CoinSecure en Inde et BTC-e en Bulgarie, ou encore William Hill, un des plus grands sites de paris de Grande-Bretagne, redevenu complètement opérationnel après plusieurs jours, ont été les plus exposés au 4e trimestre et il est probable que cette tendance se maintienne tout au long de l’année 2017.

Ensuite, les cybercriminels ont appris à gérer et à lancer des attaques DDoS à plusieurs vecteurs très poussées, soigneusement organisées et en transformation constante qui s’adaptent aux stratégies d’atténuation et aux capacités des organisations ciblées. D’après notre analyse, les cybercriminels à l’origine de plusieurs attaques que nous avons suivies en 2016 ont débuté en utilisant une sélection de vecteurs d’attaques divers afin de sonder progressivement le réseau et les services Internet des banques dans le but de trouver un point d’échec. Une fois que la banque appliquait les contre-mesures et ses stratégies d’atténuation pour les attaques DDoS, les vecteurs d’attaque changeaient sur l’espace de plusieurs jours.

Globalement, ces attaques prouvent que l’environnement des attaques DDoS a atteint une nouvelle étape de son évolution en 2016, caractérisée par de nouvelles technologies et une puissance d’attaque phénoménale, sans oublier les aptitudes et le professionnalisme des cybercriminels. Malheureusement, cette tendance ne se reflète pas encore dans les stratégies de cybersécurité de nombreuses entreprises qui ne sont pas encore prêtes à réaliser des investissements dans des services de protection contre les attaques DDoS ou qui ne comprennent pas encore la nécessité de tels investissements.

Quatre tendances pour l’année 2016

Le marché des attaques DDoS a connu de profondes mutations et une évolution marquée au cours de l’année 2016. Nous aimerions revenir sur 4 tendances en particulier :

  1. Abandon des attaques de type Amplification. Les attaques par amplification sont loin d’être une nouveauté et les méthodes pour prévenir de telles attaques sont bien connus et leur efficacité a été démontrée. La popularité de cette catégorie d’attaques n’a pas faibli au cours du premier semestre 2016. Puis, le nombre et le volume de ces attaques a commencé à diminuer progressivement. A la fin de l’année 2016, nous avons remarqué que les individus malintentionnés avaient pratiquement abandonné le recours aux attaques de type Amplification. Cela faisait plusieurs années que nous observions cette tendance. Cette situation s’explique premièrement par le développement des méthodes de prévention de ces attaques. Ensuite, le nombre d’hôtes vulnérables que les individus malintentionnés peuvent utiliser comme levier dans ce genre d’attaque a diminué (il suffit par exemple de voir ce qui se passe au niveau des attaques DNS Amplification). En effet, les propriétaires des ressources exploitées pour amplifier ces attaques subissent des pertes et sont confrontés à des problèmes de disponibilité des ressources. Ils doivent par conséquent faire preuve d’une grande vigilance et trouver les moyens d’éliminer ces vulnérabilités.

  2. Augmentation de la popularité des attaques applicatives, augmentation du nombre de ces attaques qui utilisent le chiffrement. Cela fait quelques années maintenant que les attaques de types UDP Amplification occupent la position de leader incontesté du marché des attaques DDoS alors que les attaques applicatives étaient plus rares. Au cours du 2e semestre, et plus particulièrement au cours du 4e trimestre, nous avons observé une augmentation sensible de la popularité des attaques applicatives qui occupent désormais la niche abandonnée par les attaques par amplification. L’organisation de telles attaques repose sur l’utilisation d’outils connus depuis longtemps et qui ont fait leur preuve (Pandora, Drive, LOIC/HOIC) ou de nouvelles créations. La tendance à l’augmentation du nombre d’attaques applicatives avec chiffrement s’inscrit dans la tendance à l’augmentation des attaques applicatives. Dans la majorité des cas, le recours au chiffrement augmente sensiblement l’efficacité des attaques et complique le filtrage de celles-ci. De plus, les individus malintentionnés n’ont pas abandonné la démarche complexe qui consiste à dissimuler une attaque applicative modeste mais efficace à l’aide d’une attaque simultanée quelconque d’un plus grand volume, par exemple, une attaque qui prend la forme de l’envoi d’un nombre élevé de petits paquets réseau (TCP flood avec petits paquets réseau.

  3. Augmentation de la popularité des attaques de type WordPress Pingback. Alors que les attaques de type WordPress Pingback étaient relativement rares au début de l’année, elles ont conquis une part importante du marché des attaques DDoS au 4e trimestre. Il s’agit à l’heure actuelle d’une des méthodes d’attaque applicative les plus répandues. C’est pour cette raison qu’elle possède sa propre rubrique dans notre analyse des attaques applicatives globales. Etant donné la relative simplicité d’organisation, l' »empreinte » de telles attaques est caractéristique et le trafic généré peut être séparé aisément du flux général. Toutefois, la possibilité d’organiser de telles attaques avec chiffrement, comme ont pu l’observer les experts de Kaspersky Lab au 4e trimestre 2016 complique considérablement le filtrage et augmente le potentiel malveillant des attaques de ce type.

  4. Organisation d’attaques DDoS à l’aide de réseaux de zombies de l’Internet des objets Suite à la publication le 24 octobre 2016 d’un code sur github, les experts de Kaspersky Lab ont observé une véritable explosion de l’intérêt des individus malintentionnés pour les dispositifs de l’Internet des objets et plus particulièrement, pour l’organisation d’attaques DDoS menées à l’aide de réseaux de zombies composés de ces dispositifs. Les concepts et les démarches appliqués par les créateurs du bot Mirai ont jeté les bases pour une immense quantité de code malveillant et de réseaux de zombies composés de dispositifs de l’Internet des objets. C’est précisément ce type de réseau de zombies qui a été utilisé au 4e trimestre 2016 pour organiser de nombreuses attaques contre des banques russes. Au contraire des réseaux de zombies classiques, les réseaux de zombies composés de dispositifs de l’Internet des objets se caractérisent par un volume et un potentiel énormes. Ce point a été illustré par l’attaque contre le fournisseur DNS DYN, qui a eu un impact direct sur les opérations de quelques-unes des plus grandes ressources d’Internet (par exemple, Twitter, Airbnb, CNN et beaucoup d’autres).

Statistiques des attaques DDoS avec utilisation de réseaux de zombies

Méthodologie

Kaspersky Lab compte de nombreuses années d’expérience dans la lutte contre les cybermenaces, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Nos experts suivent l’activité des réseaux de zombies à l’aide du système DDoS Intelligence.

Le système DDoS Intelligence fait partie d’une solution Kaspersky DDoS Preventionqui vise à intercepter et à analyser les commandes envoyées aux bots par les serveurs de commande, sans besoin d’infecter des périphériques de l’utilisateur ou d’exécuter des commandes des individus malintentionnés.

Ce rapport présente les statistiques de DDoS Intelligence pour le 4e trimestre 2016.

Dans le cadre de notre analyse, l’activité d’un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité de ce réseau ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures minimum aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérés comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement les réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 4e trimestre 2016, nous avons enregistré des attaques DDoS menées contre des cibles réparties dans 80 pays (contre 67 pays au 3e trimestre 2016).
  • Au 4e trimestre, 71,6 % des attaques ont touché des cibles se trouvaient sur le territoire chinois.
  • Le trio de tête selon le nombre d’attaques DDoS, le nombre de cibles et le nombre de serveurs de commande détectés demeure inchangé et réunit la Corée du Sud, la Chine et les Etats-Unis.
  • L’attaque DDoS la plus longue du 4e trimestre 2016 aura duré 292 heures (12,2 jours), soit bien plus que le record du 3e trimestre qui avait été de 184 heures (soit, 7,7 jours). Il s’agit du record pour l’ensemble de 2016.
  • SYN-DDoS, TCP-DDoS et HTTP-DDoS demeurent toujours les méthodes d’attaque privilégiées. La part de la méthode SYN-DDoS a reculé de 5,7 points de pourcentage, tandis que la part des méthodes TCP et HTTP a sensiblement augmenté.
  • Au 4e trimestre 2016, la part des attaques menées à l’aide de réseaux de zombies Linux a légèrement reculé pour atteindre 76,7% de l’ensemble des attaques identifiées.

Répartition géographique des attaques

Au 4e trimestre 2016, des attaques DDoS ont été enregistrées dans 80 pays. La Chine a été touchée par 76,97 % de celles-ci (augmentation de 4,4 points de pourcentage par rapport au trimestre antérieur). Au cours de ce trimestre, les Etats-Unis ont été touchés par 7,3 % des attaques et la 3e position revient une fois de plus à la Corée du Sud avec 7 % des attaques.

Le Top 10, qui représente 96,9 % des attaques, accueille pour la première fois le Canada (0,8 %) qui remplace l’Italie, tandis que la Russie (1,75 %) progresse de la 5e à la 4e position suite au recul de 0,6 point de pourcentage enregistré par le Vietnam.

Attaques DDoS au 4e trimestre 2016

Répartition des attaques DDoS par pays T3 2016 et T4 2016

Au 4e trimestre, les cibles situées dans les pays du Top 10 ont été victimes de 96,3% des attaques.

Attaques DDoS au 4e trimestre 2016

Répartition des cibles uniques d’attaques DDoS par pays T3 2016 et T4 2016

Le nombre d’attaques organisées contre des cibles sur le territoire chinois a atteint 71,6 % de l’ensemble des attaques, soit une progression de 9 points de pourcentage par rapport au 3e trimestre. On enregistre une légère augmentation du nombre de cibles en Corée du Sud (0,7 point de pourcentage) tandis que le nombre d’attaques DDoS contre des cibles situées aux Etats-Unis a reculé de 9,7 points de pourcentage (9 % contre 18,7 % au 3e trimestre).

La part des autres pays du Top 10 n’a pratiquement pas changé. Seul le Japon a perdu 1 point de pourcentage, tandis que l’Italie et les Pays-Bas ont été remplacés par l’Allemagne (0,56 %) et le Canada (0,77 %).

Dynamique du nombre d’attaques DDoS

La répartition des attaques par jour au 4e trimestre 2016 est très inégale. Un pic abrupt a été enregistré aux environs du 5 novembre avec 1 915 attaques. Il s’agit du chiffre le plus élevé pour l’ensemble de l’année 2016. La journée la plus calme du 4e trimestre aura été celle du 23 novembre : seules 90 attaques ont été enregistrées ce jour-là. Mais dès le 25 novembre, l’activité des individus malintentionnés s’intensifiait à nouveau, comme en témoigne les 981 attaques de ce jour.

Attaques DDoS au 4e trimestre 2016

Dynamique du nombre d’attaques DDoS*, T4 2016

*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

Au cours du 4e trimestre, c’est le samedi que les individus malintentionnés ont été en général le plus actif. En effet, 18,2 % des attaques ont été enregistrées ce jour-là. Il devance le vendredi de 1,7 point de pourcentage. Le lundi aura été quant à lui la journée où l’activité DDoS aura été la plus réduite (11,6 % des attaques).

Attaques DDoS au 4e trimestre 2016

Répartition des attaques DDoS selon le jour de la semaine,T3 et T4 2016

Types et durée des attaques DDoS

Comme par le passé, les attaques de type SYN-DDOS dominent de loin le classement : elles ont atteint un volume de 75,3 % de l’ensemble des attaques. Ce chiffre affiche toutefois un recul de 5,7 points de pourcentage par rapport au 3e trimestre. Nous avons enregistré une légère augmentation de la part des catégories TCP-DDoS (de 8,2 à 10,7 %) et ICMP-DDoS (de 1,7 à 2,2 %). La part des attaques UDP n’a quant à elle pratiquement pas changé.

Attaques DDoS au 4e trimestre 2016

Répartition des attaques DDoS par type, T3 et T4 2016

La continuité n’est pas au rendez-vous de la répartition des attaques selon la durée à la fin de l’année 2016. La part des attaques de courte durée de 4 heures maximum est restée pratiquement inchangée par rapport au trimestre antérieur avec un léger recul de 1,56 point de pourcentage, mais les parts des autres ont enregistrés des changements sensibles.

Ainsi, la part des attaques comprises entre 5 et 9 heures a progressé de 14,49 à 19,28 % ; les attaques comprises entre 10 et 19 heures ont perdu 1,3 point de pourcentage ; les attaques d’une durée de 20 à 49 heures ont rebondi de 3,35 points de pourcentage tandis que la part des attaques d’une durée comprise entre 50 et 99 heures a sensiblement diminué : elle est passée de 3,46 % au 3e trimestre 2016 à 0,94 % au 4e trimestre. Les attaques comprises entre 100 et 150 heures ont atteint 2,2 %. Cela signifie qu’au 4e trimestre, le nombre d’attaques de cette durée a atteint le double du nombre d’attaques comprises entre 50 et 99 heures. Les attaques de plus de 150 heures sont toujours très rares.

Le record de durée au 4e trimestre aura été de 292 heures, soit 8 heures de plus que l’attaque la plus longue du 3e trimestre. Il s’agit également du record pour l’ensemble de l’année 2016.

Attaques DDoS au 4e trimestre 2016

Répartition des attaques DDoS par durée T3 et T4 2016

Serveurs de commande et types de réseaux de zombies

La majorité des serveurs de commande détectés au 4e trimestre (59,06 %) se trouvait sur le territoire de la Corée du Sud, soit 13,3 points de pourcentage de plus que par rapport au 3e trimestre, mais bien en dessous de la part obtenue au 2e trimestre (69,6 %). La Corée du Sud, la Chine (8,72 %) et les Etats-Unis (8,39 %) constituent une fois de plus le trio de tête, avec une grande longueur d’avance sur les suivants. Globalement, ces trois pays hébergent 76,1 % des serveurs de commande, soit 8,4 points de pourcentage de plus qu’au 3e trimestre.

Nous retrouvons encore dans ce Top 10 un trio de pays d’Europe de l’Ouest (Pays-Bas, Grande-Bretagne et France) qui avait fait son entrée au 3e trimestre. Leur part a été de 7,4, 1,3 et 1,7 % respectivement. La Bulgarie (6 %) et le Japon (1,3 %) ont fait leur apparition dans le Top 10 au cours de ce trimestre.

Attaques DDoS au 4e trimestre 2016

Répartition des serveurs de commande de réseaux de zombies par pays, T4 2016

S’agissant de la répartition par système d’exploitation, il n’y a pas de surprises. Les bots Linux dominent une fois de plus largement ce classement avec un indice de 76,7%, soit un recul de 2,2 points de pourcentage par rapport au trimestre précédent. Cette baisse est à mettre en rapport avec la réduction de la part de SYN-DDoS pour laquelle les outils Linux sont plus répandus.

L’augmentation prévue de la popularité de l’Internet des objets dans l’organisation d’attaques DDoS permet de supposer que la balance en 2017 va pencher du côté de Linux car la majorité de ces dispositifs connectés à Internet repose sur ce système d’exploitation.

Attaques DDoS au 4e trimestre 2016

Rapport entre les attaques de réseaux de zombies Windows et Linux, T3 et T4 2016

Au cours du 4e trimestre 2016, 99;7 % des attaques ont été réalisées à l’aide de bots d’une seule famille et les individus malintentionnés ont associé des bots de famille différentes au sein d’attaques contre une même cible dans 0,3 % des cas seulement.

Conclusions et pronostics

L’année 2017 devrait être marquée par la poursuite du recul de la part des attaques par amplification, notamment celles des types populaires comme DNS et TPT. Ceci étant dit, vu la simplicité et le faible coût de l’organisation de telles attaques, il est possible qu’on observe des tentatives d’application de la technique Amplification à des protocoles moins répandus, mais adaptés à l’effet de levier (RIP, SSDP, LDAP, etc.), même s’il est fort peu probable que l’efficacité de telles attaques soit aussi élevée.

Le nombre et la complexité des attaques applicatives vont continuer d’augmenter. Si l’on tient compte du regain d’intérêt des individus malintentionnés pour ce type d’attaque et du calme relatif qui a caractérisé ce segment depuis plusieurs années, on peut s’attendre à un abandon progressif des anciens réseaux de zombies au profit d’un concept plus moderne, par exemple des bots qui permettent d’organiser des attaques plus complexes. Le recours au chiffrement dans le cadre des attaques applicatives devrait se maintenir.

La popularité des attaques de type WordPress Pingback va se maintenir. Bien que les nouvelles versions de CMS WordPress ne contiennent plus la vulnérabilité exploitée pour organiser de telles attaques (et plus exactement l’activation par défaut de la fonction Pingback dans les anciennes version du CMS), il existe toujours sur Internet un nombre important d’hôtes vulnérables. D’un côté, leur nombre va diminuer au fil du temps, ce qui va entraîner une réduction du nombre et de la puissance des attaques de type WordPress Pingback. Mais d’un autre côté, la relative simplicité et le faible coût de l’organisation de ce type d’attaque, associés à la possibilité de recourir au chiffrement, rendent les attaques de type WordPress Pingback attrayantes pour les individus malintentionnés peu exigeants.

Les réseaux de zombies construits à l’aide de dispositifs de l’Internet des objets vont poursuivre leur développement. Ceci s’explique en grande partie par la nouveauté non seulement du concept de l’Internet des objets dans son ensemble, mais également de l’exploitation des dispositifs de l’Internet des objets par les individus malintentionnés. On peut supposer que ce que nous avons observé au 4e trimestre 2016 n’aura été que les balbutiements d’un nouveau segment du marché qui va poursuivre sa croissance et son développement en 2017. Il est difficile d’estimer le potentiel de cette croissance : jusqu’à présent, les fabricants de dispositifs de l’Internet des objets ne se sont pas vraiment intéressés à la protection de leurs produits. En admettant que tous les nouveaux dispositifs de l’Internet des objets qui vont arriver sur le marché jouissent d’une protection idéale contre les attaques des individus malintentionnés (ce qui en lui-même est douteux), le volume de dispositifs de l’Internet des objets vulnérables qui sont actuellement connectés à Internet reste significatif. Il n’aura fallu attendre que quelques mois après la naissance du concept pour que les individus malintentionnés démontrent l’utilisation de réseaux de zombies regroupant une quantité de dispositifs jamais vue à ce jour pour organiser des attaques d’un volume qui, jusqu’alors ne semblait réaliste que sur papier. De plus, les dispositifs en eux-mêmes possèdent un potentiel suffisant pour l’organisation d’attaques de n’importe quel degré de difficulté. A l’heure actuelle, et conformément aux tendances, il s’agit d’attaques applicatives, notamment avec le recours au chiffrement. Si l’on tient compte de l’efficacité redoutable et du potentiel énorme des attaques à l’aide de réseaux de zombies composés de dispositifs de l’Internet des objets, il faudra s’attendre en 2017 à une augmentation non seulement du nombre d’attaques de ce genre, mais aussi du volume et de la complexité.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *