Attaques DDoS au 3e trimestre 2015

Evénements du trimestre

Nous avons choisi les événements survenus au cours du trimestre qui d’après nous représentent les principales tendances dans le domaine des attaques DDoS et des outils employés pour les organiser:

  • attaques DDoS contre des institutions financières à des fins de chantage;
  • nouvelles techniques permettant d’augmenter la puissance des attaques grâce aux manipulations de pages Internet;
  • développement actif des réseaux de zombies Linux pour les attaques DDoS.

Attaques contre organisations financières

Au 3e trimestre 2015, l’activité du célèbre groupe de hackers DD4BC a augmenté. Ce groupe a attaqué plusieurs grandes banques à travers le monde, y compris en Russie. Ce groupe criminel s’est fait remarqué depuis septembre 2014 et il organise des attaques DDoS contre des banques, des groupe de presse et des sociétés de jeux. Les individus malintentionnés utilisent les attaques de déni de service comme moyen de chantage. Le propriétaire de la ressource attaquée doit payer une rançon comprise entre 25 et 200 bitcoins (6 500 et 52 500 USD) et en cas de refus, ses serveurs risquent d’être mis hors ligne. Parmi les premières victimes du groupe, on retrouve notamment des organisations d’Australie, de Nouvelle-Zélande et de Suisse. D’importantes institutions financières de Hong Kong ont également reçu des avertissements. La Banque de Chine et la Banque d’Asie de l’Est ont signalé les actions illégales. Certaines institutions financières russes ont été attaquées au 3e trimestre. Elles ont également reçu des messages des individus malintentionnés qui sollicitaient le versement d’une rançon en crypto-devises pour interrompre les attaques.

Scénario d’attaque inhabituel

La société CloudFlare a signalé la découverte d’un scénario d’attaque DDoS inhabituel. Le site d’un des clients de CloudFlare a été victime d’une attaque dont la puissance globale a atteint 275 000 requêtes HTTP par seconde. L’élément intéressant dans ce cas est que les individus malintentionnés ont utilisé un JavaScript malveillant intégré dans une publicité. L’iFrame contenant la publicité infectée par le JavaScript malveillant était lancé dans les navigateurs de nombreux utilisateurs et suite à cela, le poste de travail de l’utilisateur commençait à envoyer des requêtes XHR à la victime. Les experts estiment que cette publicité malveillante pourrait être affichée par certaines applications légitimes.

Activité du bot XOR-DDoS

Les experts de la société Akamai Technologies ont remarqué une augmentation de la puissance des réseaux de zombies DDoS composés d’ordinateurs Linux et dont les victimes sont principalement des sites d’institutions académiques et de communautés de joueurs en Asie. Ce bot se caractérise par l’utilisation du chiffrement XOR, non seulement dans le malware, mais également dans les communications avec les serveurs de commande. Pour sa propagation, le bot repose sur l’obtention du mot de passe du compte root des systèmes Linux par force brute. Comme vous le savez, le système d’exploitation Linux est souvent utilisé comme système d’exploitation serveur, ce qui signifie que le serveur possède également des canaux et des ressources processeurs que les individus malintentionnés pourront exploiter par la suite pour organiser des attaques DDoS. Ce réseau de zombies a déjà organisé des attaques DDoS d’une puissance comprise entre 109 et 179 Gbits/s à l’aide de scénarios de type « SYN flood » ou « DNS flood ».

D’après les données de Kaspersky Lab, des réseaux de zombies composés de serveurs Linux infectés par le bot XOR-DDoS ont mené des attaques soutenues contre des ressources établies en Chine.

DDoS accessible

D’un côté, les malwares utilisés pour organiser les attaques DDoS deviennent de plus en plus complexes tandis que les outils requis pour mener l’attaque deviennent accessible à l’utilisateur lambda et leur utilisation s’est simplifiée. Par conséquent, l’organisation et la réalisation d’une attaque DDoS ne requièrent aucune connaissance technique particulière de la part des attaquants. Un individu malintentionné plus ou moins familier avec les technologies peut facilement organiser des attaques par amplification qui atteignent une puissance considérable.

Ce fait est confirmé par les attaques menées contre un portail académique de la République du Tatarstan par des étudiants qui voulaient interrompre les communications entre les professeurs et les parents. Les attaquants se sont acharnés pendant un an sans résultats contre ce portail protégé par Kaspersky DDoS Protection, ce qui a suscité l’intérêt des experts de Kaspersky Lab.

La disponibilité des outils pour la réalisation d’une attaque DDoS et leur simplicité d’utilisation a entraîné l’élargissement du spectre de cibles attaquées. On a l’habitude de croire que les attaques DDoS visent principalement des institutions financières, des institutions gouvernementales, des entreprises et des médias. De nos jours, n’importe quelle ressource qui froisse certains Internautes dépourvus de morale peut être victime d’une attaque DDoS, même un portail académique.

Statistiques des attaques DDoS avec utilisation de réseaux de zombies

Méthodologie

Le système DDoS Intelligence (qui fait partie de la solution Kaspersky DDoS Protection) vise à intercepter et à analyser les commandes envoyées aux bots par les serveurs de commande, sans besoin d’infecter des périphériques de l’utilisateur ou d’exécuter des commandes des individus malintentionnés.

Dans le cadre de notre analyse, l’activité d’un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérées comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement sur les réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont qu’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 3e trimestre 2015, les attaques DDoS ont touché des cibles réparties dans 79 pays.
  • 91,6 % des ressources attaquées étaient réparties dans 10 pays.
  • La Chine, les Etats-Unis et la République de Corée dominent toujours le classement aussi bien au niveau du nombre d’attaques DDoS enregistrées que du nombre de victimes de ces attaques.
  • L’attaque DDoS la plus longue du 3e trimestre 2015 aura duré 320 heures (13,3 jours).
  • SYN-DDoS, TCP-DDoS et HTTP-DDoS demeurent toujours les méthodes d’attaques privilégiées.
  • Les bots Linux sont très utilisés par les cybercriminels et la part d’attaques DDoS réalisées à l’aide de réseaux de zombies Linux a atteint 45,6 % au 3e trimestre.

Répartition géographique des attaques

Au 3e trimestre 2015, les attaques DDoS ont ciblé des ressources réparties dans 79 pays. 91,6 % des ressources attaquées étaient réparties dans 10 pays.

Répartition des cibles uniques d’attaques DDoS par pays T2 et T3 2015

La Chine domine toujours le classement des pays par nombre de ressources uniques attaquées. Elle a abrité 34,5 % des cibles d’attaques DDoS, soit 4,6 % de plus qu’au trimestre antérieur. Les Etats-Unis conservent leur 2e position avec 20,8 %. La Corée du Sud demeure en 3e position avec 17,7 %. Signalons que c’est ce pays qui a connu l’augmentation la plus sensible: 7,9 %.

Les Pays-Bas figurent à nouveau dans le Top 10 (1,1 %). Le Japon fait son entrée dans ce classement avec 1,3 % de l’ensemble des ressources attaquées. L’Allemagne (1,0 %) et Hong Kong (0,9 %) ne figurent plus dans le Top 10.

Les données relatives au nombre d’attaques observées indiquent que 92,3 % des attaques (soit 14,7 % de plus qu’au 2e trimestre) ont touché ces 10 mêmes pays:

Répartition des attaques DDoS par pays T2 et T3 2015

Au 3e trimestre, le trio de tête de ce classement est resté inchangé : la Chine (37,9 %), les Etats-Unis (22,7 %) et la Corée du Sud (14,1 %). Sur la base du nombre d’attaques, les Pays-Bas (1,1 %) et le Japon (1,3 %) remplacent la France (0,9 %) et Hong Kong (0,9 %) dans le Top 10. C’est la part des Etats-Unis qui a connu la plus grande progression avec 5,4 %.

Les indices du trio de tête des deux classements (nombre d’attaques et nombre de cibles) ont connu une augmentation plus marquée que ceux des autres pays du Top 10. La position de leader de la Chine et des Etats-Unis en fonction du nombre d’attaques et du nombre de cibles s’explique par le coût relativement faible de l’hébergement Internet dans ces pays, ce qui attire la majorité des ressources Internet victime des attaques par la suite.

Le leader en fonction du nombre d’attaques est une adresse IP qui appartiendrait à un centre de données de Honk Kong qui a été attaqué à 22 reprises au cours du trimestre.

Dynamique du nombre d’attaques DDoS

Au 3e trimestre 2015, l’activité DDoS a connu deux pics : le premier au milieu du mois de juillet et le deuxième à la fin du mois de septembre. La période la plus calme a été observée entre le début du mois d’août et le milieu du mois de septembre.

Dynamique du nombre d’attaques DDoS*, T3 2015

*Dans la mesure où les attaques DDoS peuvent durer pendant plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

Le nombre le plus élevé d’attaques (1 344) a été enregistré le 24 septembre.

Le jour de la semaine où l’activité DDoS a été la plus élevée est le mardi:

Répartition des attaques DDoS selon les jours de la semaine

La 1re position du mardi s’explique par l’augmentation sensible du nombre d’attaques le 14 juillet et le 22 septembre, qui étaient un mardi. Signalons qu’au cours de ces deux jours, ce sont des réseaux de zombies composés de serveurs Linux infectés par XOR-DDoS qui ont été particulièrement actifs. Ils ont attaqué des ressources en Chine.

Types et durée des attaques DDoS

Au 3e trimestre 2015, 99,3 % des cibles ont été attaquées par des bots appartenant à une famille (au trimestre précédent, cet indice avait atteint 98,2 %).

Les individus malintentionnés ont utilisé pour les attaques des bots de deux familles différentes (où les commanditaires ont contacté plusieurs « fournisseurs ») uniquement dans 0,7 % des cas. Dans 0,02 % des attaques, ils ont utilisé 3 familles de bot ou plus.

Au 3e trimestre, plus de la moitié des attaques a été réalisée selon la méthode SYN-DDoS (51,6 % de l’ensemble des attaques), tandis que la part des attaques de type TCP-DDoS a atteint 19,9 %, contre 18,1 % pour les attaques HTTP-DDoS. La méthode ICMP-DDoS se hisse en 4e position. Son indice a plus que doublé au cours des deux derniers trimestres et a atteint 6,2 %.

5

Répartition des attaques DDoS par type

A l’instar des trimestres précédents, la majorité des attaques au 3e trimestre 2015 a duré moins de 24 heures, mais le nombre d’attaques d’une durée égale ou supérieure à une semaine a augmenté.

6

Répartition des attaques DDoS selon la durée (heures)

Le record de durée d’une attaque au trimestre précédent avait été de 205 heures (8,5 jours). Il a littéralement explosé au 3e trimestre avec une attaque qui a duré 320 heures (13,3 jours).

Serveurs de commande et types de réseaux de zombies

Au 3e trimestre 2015, la République de Corée domine sans conteste le classement en fonction du nombre de serveurs de commande de réseaux de zombies implantés sur son territoire. Sa part a progressé de 34 à 56,6 %. Notons que le nombre de serveurs de commande qui gèrent les bots Nitol a sensiblement augmenté en Corée au cours du trimestre. Il a commencé à utiliser de plus en plus les services Dynamic DNS. Et plus particulièrement no-ip.org et codns.com. Comme nous l’avons déjà cité ci-dessus, le pourcentage d’attaque DDoS ciblant des ressources établies en Corée a également augmenté au cours de la même période.

La part des serveurs de commande aux Etats-Unis et en Chine a sensiblement diminué : elle est passée respectivement de 21 à 12,4 % et de 14 à 6,9 %.

Répartition des serveurs de commande de réseaux de zombies par pays, T3 2015

Au 3e trimestre 2015, les variations au niveau de l’activité des bots développés pour Windows et Linux se sont maintenues. Après une réduction au 2e trimestre, la part des réseaux de zombies sous Linux a regagné un peu de terrain : la part d’attaques organisées à l’aide de réseaux de zombies de cette catégorie est passée de 37,6 à 45,6 %.

8

Rapport entre les attaques de réseaux de zombies Windows et Linux

L’augmentation de l’activité des réseaux de zombies Linux s’explique, selon toute vraisemblance, par la protection insuffisante appliquée aux postes Linux traditionnels et, point important, par le plus grand débit du canal Internet. Cela rend Linux plus attrayant pour les individus malintentionnés, malgré la complexité relative du développement, de l’acquisition et de l’exploitation de bots Linux.

Attaques contre des banques

Le 3e trimestre aura été marqué par le retour des attaques DDoS de chantage. Plusieurs grandes banques issues de différents pays ont été victimes d’attaques DDoS avant de recevoir un message exigeant le versement d’une somme importante en cryptodevise (BTC) pour arrêter les attaques. C’est cette particularité qui permet de supposer que ces attaques ont été organisées par le groupe DD4BC, grand habitué des demandes de rançon en bitcoins.

Ce groupe serait désormais actif également en Russie, comme en témoigne les attaques contre plusieurs institutions financières russes. Certaines des banques russes victimes de ces attaques étaient protégées par le service Kaspersky DDoS Protection ou ont rapidement souscrit au service au tout début des attaques DDoS. Elles ont pu ainsi éviter les dégâts. Les sites des banques et leurs systèmes de banque électronique ont continué à fonctionner normalement.

Kaspersky Lab a enregistré une vague d’attaques DDoS continues contre les systèmes de banque électronique de huit institutions financières connues. Certaines banques ont été attaquées à plusieurs reprises.

Pour toutes ces attaques, les individus malintentionnés ont utilisé une combinaison complexe d’attaques par amplification. Il s’agit d’attaques dotées d’un coefficient d’amplification qui permet de mettre des ressources Internet hors service avec un minimum d’efforts de la part des attaquants.

Ils ont utilisé 3 types d’attaque pour inonder le canal: NTP amplification, SSDP amplification et RIPv1 amplification d’une puissance ayant atteint jusqu’à 40 Gbits/s. Dans certains cas, les attaques étaient renforcées par une attaque HTTPS d’une puissance atteignant 150 Mbits/s via une réseau de zombies contenant près de 2 000 hôtes.

L’attaque avait duré entre 1 et 4 heures.

Les individus malintentionnés non seulement exigeaient une rançon en bitcoins, mais ils menaçaient également les banques avec des attaques d’une puissance jamais vue d’un térabit. Toutefois, ces menaces n’ont pas été mises à exécution dans la pratique.

On peut supposer qu’à la fin du mois de septembre, les paramètres de pointe des attaques enregistrées correspondaient au maximum des possibilités des attaquants car lors d’une attaque menée simultanément contre plusieurs banques, les experts de Kaspersky Lab ont mesuré précisément cette puissance totale.

Malheureusement, on ne peut exclure le risque d’une augmentation de la puissance des attaques à l’avenir.

Conclusion

Le rapport entre les attaques de réseaux de zombies Windows et Linux met en évidence une tendance intéressante: les individus malintentionnés ont commencé à utiliser activement des réseaux de zombies composés de serveurs infectés. Ceci s’explique par plusieurs raisons:

  • Tout d’abord, le débit du canal Internet d’un serveur est de loin supérieur à celui d’un ordinateur particulier, ce qui permet d’organiser des attaques puissantes à l’aide de plusieurs serveurs.
  • Ensuite, la protection des serveurs laisse parfois à désirer, ce qui permet de les compromettre. Si les correctifs de sécurité ne sont pas installés comme il se doit sur le serveur, celui-ci devient une proie facile pour les individus malintentionnés. Identifier de tels serveurs n’est guère difficile et l’exploitation d’une vulnérabilité connue est aisée. Il ne faut pas oublier non plus l’arsenal croissant des codes d’exploitation disponibles qui ont vu le jour suite à la découverte d’une série de vulnérabilité dans des logiciels open-source, par exemple les codes d’exploitation de la vulnérabilité ghost qui est toujours d’actualité.
  • Troisièmement, il est possible d’augmenter la puissance d’un réseau de zombies composés de serveurs en louant des serveurs complémentaires.

Dans ce genre de situation, il est primordial d’installer en temps opportuns les correctifs sur le serveur. De leur côté, les propriétaires de ressources Internet doivent opter pour une protection efficace contre les attaques DDoS organisées à l’aide de réseaux de zombies composés de serveurs afin de ne pas connaître les mêmes ennuis que différents types de société sur Internet.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *