Attaques DDoS au premier trimestre 2017

Contenu

Survol de l’actualité

Grâce aux réseaux de zombies composés d’objets connectés (Internet des objets), les attaques DDoS ont perdu leur statut de curiosité pour endosser celui d’événement ordinaire. D’après une étude réalisée par A10 Networks, les attaques DDoS impliquant des objets connectés ont atteint cette année une ampleur effrayante : chacune des attaques enregistrées implique des centaines de milliers d’objets connectés à Internet.

La lutte contre ce phénomène n’en est qu’à ses débuts : les vendeurs d’objets connectés réagissent lentement face à la nécessité de renforcer les mesures de sécurité de l’information dans leurs propres produits. Ceci étant dit, quelques succès ont été engrangés dans la lutte contre les individus malintentionnés qui organisent des attaques DDoS à l’aide d’objets connectés. Ainsi, le célèbre journaliste Brian Krebs spécialisé dans la sécurité de l’information a réussi à identifier l’auteur du célèbre malware IoT Mirai, tandis qu’en Grande-Bretagne, les autorités ont arrêté le cerveau d’une attaque contre Deutsche Telekom. D’après l’acte d’accusation, il aurait mis en place un réseau de zombies composé d’objets connectés (routeurs) dans le but de vendre l’accès à celui-ci. Il risque une condamnation à 10 ans de réclusion en Allemagne.

La démocratisation et l’amélioration de la qualité des outils de DoS ont entraîné une augmentation sensible du nombre d’attaques contre des ressources connues. Ainsi, des individus malintentionnés inconnus ont mis hors ligne le site du parlement autrichien, ainsi que plus d’une centaine de serveurs de ressources gouvernementales au Luxembourg. Personne n’a revendiqué ces actions et aucune exigence n’a été formulée, ce qui pourrait indiquer qu’il s’agissait d’un coup de sonde ou d’un simple acte de vandalisme.

Les plans relatifs à une attaque de grande envergure contre le site de la Maison blanche organisées par des partisans des Démocrates afin de protester contre l’élection de Donald Trump à la présidence des Etats-Unis ont visiblement échoué : aucune information relative à l’indisponibilité de la ressource n’a circulé. Ceci étant dit, les attaques DDoS sont bien implantées aux Etats-Unis en tant qu’outil de lutte dans la politique intérieure. Deux semaines avant l’inauguration du Président, le site de la publication conservatrice Drudge Report, qui avait appuyé activement la campagne de Trump, fut victime d’une attaque.

Les autorités judiciaires et policières ne sont pas restées indifférentes face à ces tendances inquiétantes, si bien que la protection contre les DDoS est devenue un domaine traité par un organisme aussi sérieux que le Département de la sécurité intérieure des Etats-Unis. Celui a déclaré que sa mission consistait à « développer des mesures de protection efficaces et simples à appliquer tout en stimulant l’adoption dans le secteur privé des meilleures pratiques en matière de protection » afin de « mettre un terme à la calamité que représentent les attaques DDoS ».

L’objectif principal des auteurs d’attaques DDoS demeure toujours l’argent. Pour cette raison, les banques et les sociétés de courtage demeurent des cibles attrayantes. Les attaques DDoS peuvent non seulement infliger de sérieux dommages matériels, mais également détruire une réputation et pour cette raison, nombreuses sont les victimes qui préfèrent payer la rançon exigée par les individus malintentionnés.

Tendances

En général, le début de l’année se caractérise par une baisse sensible de l’activité en matière d’attaques DDoS. Il se peut que les individus malintentionnés partent au soleil pendant cette période ou il peut s’agir des conséquences d’un recul de la demande alors que les commanditaires de telles attaques ont décidé de partir en vacances. Quelle que soit la cause, cette tendance se maintient depuis cinq ans déjà : T1 – basse saison Le 1er trimestre de cette année n’a pas fait exception à la règle : le groupe de Kaspersky Lab chargé de déjouer les attaques distribuées a enregistré un niveau d’activité très faible. La différence est particulièrement frappante par rapport au 4e trimestre 2016. Toutefois, malgré le ralentissement cyclique observé en cette période, le nombre d’attaques enregistré au 1er trimestre de cette année est supérieur à celui du 1er trimestre 2016, ce qui confirme l’augmentation globale du nombre d’attaques DDoS.

Etant donné l’accalmie actuelle, il est encore trop tôt pour évoquer les tendances de 2017. Ceci étant dit, nous pouvons malgré tout évoquer quelques curiosités :

  1. Au cours de la période couverte par le rapport, aucune attaque par amplification n’a été enregistrée, tandis que de leur côté, les attaques de débordement de canal sans amplification (contenu « poubelle » depuis une adresse de substitution) sont souvent utilisées. On peut supposer que les attaques par amplification ne sont plus efficaces et qu’elles appartiennent au passé.

  2. Nous avons observé une légère augmentation des attaques qui font intervenir le chiffrement, ce qui s’inscrit parfaitement dans la tendance actuelle et les prévisions de l’année dernière. Mais la hausse n’a rien de sensible.

Comme nous l’avions prévu, les attaques complexes (niveau applicatif, HTTPS) sont de plus en plus répandues. A titre d’exemple, citons l’attaque mixte (SYN + TCP Connect + HTTP-flood + UDP flood) contre le « marché électronique national ». Cette attaque s’est distinguée par un nombre assez élevé de vecteurs pour une puissance relativement modeste (3 Gbits/s). Afin de pouvoir repousser de telles attaques, il faut adopter des mécanismes de protection modernes et complexes.

Le site de la police portugaise a également été victime d’une attaque inhabituelle. Le trafic généré dans le cadre de cette attaque provenait d’une vulnérabilité dans des proxy inverses, ce qui laisse supposer que les individus malintentionnés cherchaient à masquer la véritable source de l’attaque. Ces proxy inverses vulnérables avaient été recrutés dans un réseau de zombies afin de générer le trafic.

Aucune surprise n’est à signaler pour le reste du 1er trimestre. Il aura été très calme, voire ennuyeux. Le 2e trimestre devrait être marqué par une hausse progressive de la part des attaques distribuées. A l’issue du 2e trimestre, nous serons mieux placés pour voir ce que nous réserve 2017. Pour l’instant, nous devons nous contenter de ces suppositions.

Statistiques des attaques DDoS avec utilisation de réseaux de zombies

Méthodologie

Kaspersky Lab compte de nombreuses années d’expérience dans la lutte contre les cybermenaces, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Nos experts suivent l’activité des réseaux de zombies à l’aide du système DDoS Intelligence. Il fait partie de la solution Kaspersky DDoS Prevention qui vise à intercepter et à analyser les commandes envoyées aux bots par les serveurs de commande, sans besoin d’infecter des périphériques de l’utilisateur ou d’exécuter des commandes des individus malintentionnés.

Le présent rapport présente les statistiques de DDoS Intelligence pour le 1er trimestre 2017.

Dans le cadre de notre analyse, l’activité d’un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures minimum aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérées comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement les réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 1er trimestre 2017, nous avons enregistré des attaques DDoS menées contre des cibles réparties dans 72 pays, soit 8 pays de moins qu’au 4e trimestre 2016.
  • Les cibles établies en Chine ont été victimes de 47,78 % des attaques, ce qui est sensiblement inférieur au chiffre du dernier trimestre 2016 (71,60 %).
  • Le trio de tête au niveau du nombre d’attaques DDoS et de cibles reprend une nouvelle fois la Chine, la Corée du Sud et les Etats-Unis. Quant au nombre de serveurs de commandes détectés, les Pays-Bas prennent la place de la Chine.
  • La durée des attaques DDoS a sensiblement diminué : l’attaque la plus longue a duré 120 heures, soit une réduction de 59 % par rapport à l’attaque la plus longue du trimestre antérieur qui avait atteint 292 heures. Globalement, 99,8 % des attaques ont duré moins de 50 heures.
  • Le nombre d’attaques TCP, UDP et ICMP a fortement augmenté, ce qui a provoqué une réduction de la part des attaques SYN-DDoS qui est passée de 75,3 % au 4e trimestre 2016 à 48 % au 1er trimestre 2017.
  • L’activité des réseaux de zombies Windows a fortement augmenté. Et pour la première fois en un an, elle dépasse celle des réseaux de zombies Linux. Leur part est passée de 25 % au trimestre antérieur à 59,8 % au 1er trimestre 2017.

Répartition géographique des attaques

Au 1er trimestre 2017, 72 pays ont été le théâtre d’attaques DDoS. C’est en Chine que le plus grand nombre d’attaques a été détecté (55,11 %), alors que la part de ce pays a enregistré un recul de 21,9 points de pourcentage par rapport au trimestre précédent. Par contre, les parts de la Corée du Sud (22,41 % contre 7,04 % au 4e trimestre 2017), en 2e position, et des Etats-Unis (11,37 % contre 7,30 %) ont augmenté.

Le Top 10, qui représente 95,5 % des attaques, accueille la Grande-Bretagne (0,8 %) qui vient remplacer le Japon. Le Vietnam (0,8 %, progression de 0,2 point de pourcentage) progresse de la 7e à la 6e position au détriment du Canada (0,7 %) qui passe en 8e position.

Attaques DDoS au premier trimestre 2016

Répartition des attaques DDoS par pays T4 2016 et T1 2017

Au 1er trimestre 2017, les cibles situées dans les pays du Top 10 ont été victimes de 95,1 % des attaques.

Attaques DDoS au premier trimestre 2016

Répartition des cibles uniques d’attaques DDoS par pays T4 2016 et T1 2017

Comme pour la répartition par nombre d’attaques, les cibles en Chine au 1er trimestre ont suscité beaucoup moins d’intérêt chez les individus malintentionnés : elles ont été victimes de 47,78 % des attaques, mais cela n’a pas empêché la Chine de conserver sa première position. Malgré la forte augmentation de la part des cibles en Corée du Sud (de 9,42 à 26,57 %) et aux Etats-Unis (de 9,06 à 13,80 %), la composition et les positions du Top 3 restent inchangées par rapport au trimestre antérieur.

La Russie (1,55 %) passe de la 4e à la 5e position, avec une perte de 0,14 point de pourcentage uniquement. Elle cède sa place à Hong Kong (augmentation de 0,35 point de pourcentage). Le Japon et la France quittent le Top 10 et sont remplacés par les Pays-Bas (0,60 %) et la Grande-Bretagne (1,11 %).

Dynamique du nombre d’attaques DDoS

Au cours du 1er trimestre 2017, le nombre d’attaques enregistré par jour a été compris entre 86 et 994 avec des pics le 1er janvier 793), le 18 février (994) et le 20 février (771). Les jours les plus calmes du trimestre auront été le 3 février (86), le 6 février (95), le 7 février (96) et le 15 mars (91). La réduction généralisée du nombre d’attaques entre la fin du mois de janvier et le milieu du mois de février ainsi que la chute enregistrée au mois de mars s’expliquent par le ralentissement de l’activité des bots de la famille Xor.DDoS, qui contribuaient de manière significative aux statistiques.

Attaques DDoS au premier trimestre 2016

Dynamique du nombre d’attaques DDoS*, T1 2017

*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

Dans l’ensemble, la répartition de l’activité DDoS selon les jours de la semaine n’a pratiquement pas changé par rapport au trimestre antérieur. Au 1er trimestre 2017, le jour le plus calme de la semaine est toujours le lundi, avec 12,28 % des attaques enregistrées tandis que le samedi est le plus actif (18,23 %).

Attaques DDoS au premier trimestre 2016

Répartition des attaques DDoS par jour de la semaine,T4 2016 et T1 2017

Types et durée des attaques DDoS

On observe au 1er trimestre 2017 une hausse sensible du nombre et de la part des attaques de type TCP-DDoS qui passent de 10,36 à 26,62 %. Les parts des attaques UDP (de 2,19 à 8,71 %) et ICMP (de 1,41 à 8,17 %) ont également connu une augmentation sensible. Par contre, les parts des attaques SYN-DDoS (48,07 contre 75,33 %) et HTTP (de 10,71 à 8,43 %) ont enregistré une chute marquée.

L’augmentation de la part des attaques TCP s’explique par l’activation des bots des familles Yoyo, Drive et Nitol. L’augmentation des attaques ICMP est une conséquence de la réactivation de Yoyo et Darkrai. Les bots Darkrai ont également commencé à réaliser un plus grand nombre d’attaques UDP, comme on peut le voir dans les statistiques.

Attaques DDoS au premier trimestre 2016

Répartition des attaques DDoS par type, T4 2016 et T1 2017

Au 1er trimestre 2017, il n’y a pratiquement pas eu d’attaques d’une durée supérieure à 100 heures. La part majoritaire (82,21 %) revient aux attaques d’une durée de 4 heures maximum, soit une progression de 14,79 points de pourcentage par rapport au trimestre antérieur. La part des attaques d’une durée comprise entre 50 et 99 heures a enregistré un recul sensible (de 0,94 à 0,24 %), tout comme les attaques d’une durée comprise entre 5 et 9 heures (de 19,28 à 8,45 %) et les attaques d’une durée comprise entre 10 et 19 heures (réduction de 7,00 à 5,03 %). La part des attaques d’une durée comprise entre 20 et 49 heures a légèrement augmenté, de 1 point de pourcentage.

Le record de durée au 1er trimestre 2017 est de 120 heures, soit 172 heures de moins que l’attaque la plus longue du 4e trimestre 2016.

Attaques DDoS au premier trimestre 2016

Répartition des attaques DDoS par durée, T4 2016 et T1 2017

Serveurs de commande et types de réseaux de zombies

La Corée du Sud conserve sa position de leader en matière de serveurs de commande identifiés. Et sa part a progressé de 59 à 66,49 % par rapport au dernier rapport publié. Les Etats-Unis occupent la 2e position avec 13,78 %, tandis que les Pays-Bas, avec 3,51 %, prennent la position de la Chine (1,35 %) dans le trio de tête. Le Top 3 regroupe au total 83,8 % des serveurs de commande.

Des changements notables ont eu lieu dans le Top 10. Le Japon, l’Ukraine et la Bulgarie sont remplacés par Hong Kong (1,89 %), la Roumanie (1,35 %) et l’Allemagne (0,81 %). Signalons le recul marqué de la Chine qui chute de la 2e à la 7e position.

Attaques DDoS au premier trimestre 2016

Répartition des serveurs de commande de réseaux de zombies par pays, T1 2017

La répartition par système d’exploitation au cours de ce trimestre a subi une modification radicale : les bots d’objets connectés, qui constituent la nouvelle mode, ont été détrônés par les bots Windows qui sont intervenus dans 59,81 % de l’ensemble des attaques. Ceci s’explique par l’activité croissante des bots des familles Yoyo, Drive et Nitol, tous développés pour Windows.

Attaques DDoS au premier trimestre 2016

Rapport entre les attaques réalisées à l’aide de réseaux de zombies Windows et Linux, T1 2017

Au 1er trimestre 2017, 99,6 % des attaques ont été organisés à l’aide de bots d’une famille. Des bots de deux familles sont intervenus dans 0,4 % des cas. Les cas d’utilisation de bots de trois familles au cours d’une seule attaques se comptent en unités.

Conclusion

Bien que le 1er trimestre 2017 a été relativement calme par rapport au 4e trimestre 2016, des phénomènes intéressants sont à noter. Ainsi, alors que les réseaux de zombies composés d’objets connectés continuent à se développer, ce sont les bots Windows qui dominent en ce début d’année avec une implication dans 59,8 % des attaques. Les attaques complexes sont de plus en plus fréquentes, ce qui requiert des mécanismes de protection efficaces pour les repousser.

Aucune attaque par amplification n’a été enregistrée au 1er trimestre, ce qui laisse penser que l’efficacité de ces attaques a diminué et qu’elles vont peu à peu disparaître. Une autre tendance observée au cours de ce trimestre est l’augmentation du nombre d’attaques qui font intervenir le chiffrement. Toutefois, cette augmentation ne peut pas être qualifiée de remarquable.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *