Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport oparty na systemie Kaspersky DDoS Intelligence, II kwartał  2015 r.

Tagi:

Kaspersky Lab posiada wieloletnie doświadczenie w zakresie zwalczania różnego rodzaju ataków DDoS o zróżnicowanej złożoności oraz intensywności. Ponadto, firma monitoruje w czasie rzeczywistym aktywność botnetów przy użyciu systemu DDoS Intelligence (wchodzącego w skład rozwiązania Kaspersky DDoS Protection).

Wydarzenia w II kwartale

Spośród wszystkich wydarzeń, jakie miały miejsce w II kwartale 2015 r. w zakresie ataków DDoS oraz narzędzi służących do ich przeprowadzania, wybraliśmy te, które w naszej opinii najlepiej obrazują główne trendy w ewolucji tych zagrożeń. Aktywność cyberprzestępców obejmuje: 

  • przygotowywanie i wykorzystywanie nowych technik przeprowadzania skuteczniejszych ataków bez zwiększania rozmiaru botnetów; 
  • tworzenie botnetów składających się z rozmaitych urządzeń podłączonych do internetu i wykorzystywanie ich do przeprowadzania ataków DDoS; 
  • rozwijanie modułów DDoS dla zestawów narzędzi służących do tworzenia szkodliwego oprogramowania, przy użyciu których przeprowadzane są ataki ukierunkowane.

Moduł DDoS w zestawie narzędzi ugrupowania Animal Farm

W marcu eksperci z Kaspersky Lab opublikowali wyniki swojego badania dotyczącego ataków APT przeprowadzonych przez ugrupowanie cyberprzestępcze o nazwie Animal Farm. Cyberprzestępcy wykorzystali wiele szkodliwych komponentów, z których każdy wykonywał określone zadanie. Jednym z tych komponentów był trojan NBot, który służy do tworzenia botnetu i posiada możliwości przeprowadzania ataków DDoS. NBot stosuje wiele scenariuszy ataków rozproszonych – jest to dowód na to, że botnet ten został stworzony przez cyberprzestępców w celu przeprowadzania ataków DDoS na dużą skalę.  

Kolejny sposób na zwiększenie mocy ataku DDoS

Niektóre scenariusze zakładają wykorzystywanie luk w konfiguracji różnych usług sieciowych. Scenariusze te ugruntowały już swoją pozycję w repertuarze technik stosowanych przez właścicieli botnetów. W II kwartale 2015 r. badacze zidentyfikowali kolejną sztuczkę pozwalającą zwiększyć skuteczność ataku DDoS – wykorzystanie niedoskonałości w konfiguracji implementacji oprogramowania multicastowego protokołu Domain Name System (mDNS). W pewnych warunkach usługa wykorzystująca protokół mDNS może zwrócić odpowiedź o znacznie większym rozmiarze niż zapytanie. Właściciele botnetów mogą wiec wysłać specjalne żądania do takich serwisów, które przekierują je w znacznie większej ilości je do atakowanego użytkownika.

„Great Cannon”

„Great Cannon” to technologia, która została wykorzystana do przeprowadzenia ataku DDoS na GitHub. 6 marca właściciele strony internetowej GreatFire.org zauważyli, że ich serwery stały się celem ataku DDoS. Właściciele GitHub ustalili, że był to potężny atak DDoS przeprowadzony z serwerów wyszukiwarki Baidu.

Administratorzy wyszukiwarki wykluczyli możliwość, że ich serwery zostały zhakowane. Badacze rozważali więc scenariusz ataku z wykorzystaniem zasobów projektu Złota Tarcza. Przypuszczano, że ta zapora sieciowa została wykorzystana jako narzędzie realizacji ataku man-in-the-middle (MitM) i przekierowywała chińskich użytkowników do atakowanych zasobów sieciowych.    

Incydent ten po raz kolejny pokazuje, że źródłem ataków DDoS może być nie tylko botnet, ale również ogromna liczba nieświadomych użytkowników.

Botnet złożony z routerów

W II kwartale wykryto botnet, który składał się z routerów domowych i wykorzystywanych w małych firmach – cyberprzestępcy wykorzystali go do przeprowadzania ataków DDoS.

Infekowanie routerów domowych nie jest niczym nowym – cyberprzestępcy dość często wykorzystują tę technikę. Odpowiedzialność za bezpieczeństwo sprzętu służącego do komunikacji w domu leżała dotąd w gestii producenta. Doświadczenie pokazuje, że istnieje ogromna liczba luk w zabezpieczeniach oraz niedociągnięcia w konfiguracji, które pozwalają cyberprzestępcom przejąć kontrolę nad routerami. W opisywanym incydencie cyberprzestępcy wykorzystali routery ofiary w celu przeprowadzenia ataków DDoS. 

Dla cyberprzestępców możliwość tworzenia botnetów złożonych z routerów wydaje się dość atrakcyjna. W przypadku takich urządzeń, można łatwo zaimplementować zautomatyzowane narzędzia umożliwiające wykorzystywanie luk w zabezpieczeniach, co znacznie ułatwia zadanie cyberprzestępcom.

Statystyki dotyczące ataków DDoS przeprowadzanych przy pomocy botnetów

Metodologia

Raport zawiera dane statystyczne gromadzone przy użyciu systemu DDoS Intelligence (wchodzącego w skład rozwiązania Kaspersky DDoS Protection) od 1 kwietnia do 31 czerwca 2015 r., które są analizowane w porównaniu z analogicznymi danymi zgromadzonymi w okresie poprzednich trzech miesięcy (I kwartał 2015 r.).

Celem systemu DDoS Intelligence jest przechwytywanie i analizowanie poleceń przesyłanych z cyberprzestępczych serwerów kontroli (C&C) do botów. Jego działanie nie wymaga tego, aby jakiekolwiek urządzenie użytkownika zostało zainfekowane, ani żeby polecenia cyberprzestępców zostały wykonane. 

W raporcie pojedynczy atak DDoS jest określany jako incydent, podczas którego nie wystąpiła przerwa w działaniu botnetu trwająca dłużej niż 24 godziny. Dlatego, jeśli ten sam zasób sieciowy został zaatakowany przez dany botnet po 24 godzinach przerwy, mówimy o dwóch osobnych atakach DDoS. Ataki na ten sam zasób sieciowy z dwóch różnych botnetów również uważa się za osobne ataki. 

Rozkład geograficzny ofiar ataków DDoS i serwerów kontroli (C&C) określa się na podstawie ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana w oparciu o liczbę unikatowych adresów IP zgodnie ze statystykami kwartalnymi.

Warto zauważyć, że statystyki systemu DDoS Intelligence ograniczają się do tych botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Należy również podkreślić, że botnety stanowią zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; tym samym, dane przedstawione w tym raporcie nie obejmują każdego ataku DDoS, który miał miejsce w badanym okresie. 

Podsumowanie II kwartału

  • W II kwartale 2015 r. celem ataków DDoS przeprowadzanych przy pomocy botnetów były ofiary w 79 państwach zlokalizowanych na całym świecie.
  • 77% ataków opartych na botnetach dotyczyło zasobów zlokalizowanych w 10 państwach.
  • Największą liczbę ataków DDoS odnotowali użytkownicy w Chinach i Stanach Zjednoczonych. Na trzecim miejscu znalazła się Korea Południowa.
  • Najdłuższy atak DDoS w II kwartale 2015 r. trwał 205 godzin - 8,5 dnia.
  • Najpopularniejszymi scenariuszami wykorzystywanymi przez cyberprzestępców były ataki SYN DDoS oraz TCP DDoS. Na trzeciej pozycji znalazł się atak HTTP DDoS.

Geografia ataków

W II kwartale obszar geograficzny celów ataków zwiększył się nieco w porównaniu z I kwartałem: cele ataków były zlokalizowane w 79 krajach na całym świecie (w pierwszym kwartale 2015 r. znajdowały się w 76 państwach). 71,9% zaatakowanych zasobów było zlokalizowanych w 10 krajach.  

ddos_report_q2_en_1.png

Rozkład unikatowych celów ataków DDoS według państwa w II kwartale w porównaniu z I kwartałem 2015 r.

Lista 10 państw, w których znajdowało się najwięcej celów ataków DDoS, zmieniła się tylko nieznacznie (pojawiła się Chorwacja, zniknęła Holandia). Podobnie jak wcześniej, w rankingu prowadziły Chiny (29,9%) i Stany Zjednoczone (17,2%); Korea Południowa (9,8%) awansowała z szóstego miejsca na trzecie, zajmując miejsce Kanady. 

Jeśli przyjrzeć się liczbie odnotowanych ataków, cele 77,6% z nich były zlokalizowane w państwach z pierwszej dziesiątki: 

ddos_report_q2_en_2.png

Rozkład ataków DDoS według państwa w II kwartale w porównaniu z I kwartałem 2015 r.

Również w tym rankingu prowadzą Chiny (35,3%) i Stany Zjednoczone (17,4%).

Jak widać na powyższych wykresach, Chiny zmniejszyły nieco swój udział w obu rankingach w stosunku do I kwartału, z kolei udział Stanów Zjednoczonych i Korei Południowej wzrosł.

Większość zasobów sieciowych na świecie jest zlokalizowanych w Stanach Zjednoczonych i Chinach – gdzie dostępne są tanie usługi hostingowe. To tłumaczy, dlaczego państwa te prowadzą w rankingach pod względem liczby ataków i ich celów. 

W II kwartale zaobserwowaliśmy wzrost aktywności kilku rodzin botów – w większości atakowały one cele w Korei Południowej. W efekcie, państwo to wspięło się na trzecie miejsce w obu rankingach.

Warto również wspomnieć, że w II kwartale Rosja i Kanada odnotowały mniejszy odsetek ataków. Jest to szczególnie widoczne, jeśli przyjrzeć się odsetkowi wszystkich ataków, których cele znajdowały się w tych dwóch państwach.

Zmiany w liczbie ataków DDoS

W pierwszym tygodniu maja nastąpił znaczny wzrost liczby ataków DDoS; z kolei najmniejsza liczba takich ataków została odnotowana pod koniec czerwca.

Największa liczba ataków w jednym dniu wynosiła 1 960 i została odnotowana 7 maja. Z kolei najmniej ataków miało miejsce 25 czerwca – tylko 73.

ddos_report_q2_en_3.png

Liczba ataków DDoS* w II kwartale 2015 r.

* Ataki DDoS mogą trwać kilka dni. Na powyższym wykresie ten sam atak mógł zostać policzony kilka razy, tj. dla każdego dnia okresu trwania ataku.

W II kwartale 2015 r. niedziela stała się najaktywniejszym dniem tygodnia pod względem liczby ataków DDoS – 16,6% wszystkich ataków miało miejsce właśnie tego dnia. Najmniejsza liczba ataków została zarejestrowana we wtorki. 

ddos_report_q2_en_4.png

Rozkład liczby ataków DDoS w zależności od dna tygodnia

W niedzielę 3 maja zaobserwowaliśmy nagły wzrost aktywności jednego z botnetów. To sugeruje, że tego dnia cyberprzestępcy testowali swoją infrastrukturę.

Rodzaje i czas trwania ataków DDoS

Efekt ataku DDoS zależy od tego, jak długo trwa i jaki jest jego scenariusz – te dwa elementy określają zakres szkód odczuwanych przez cel. 

W II kwartale 2015 roku 98,2% celów ataków DDoS (w porównaniu z 93,2% w I kwartale) zostało zaatakowanych przy użyciu botów należących do jednej rodziny. Tylko w 1,7% wszystkich przypadków cyberprzestępcy przeprowadzili ataki przy użyciu botów należących do dwóch różnych rodzin (lub klienty wykorzystywały usługi kilku agentów ataków). W 0,1% przypadków, wykorzystano trzy lub więcej botów (odpowiednio 6,2% i 0,6% w I kwartale). 

W II kwartale 2015 roku ataki SYN DDoS (50,3%) nadal stanowiły najpopularniejszą metodę. Ataki TCP DDoS (21,2%) wróciły na drugie miejsce w rankingu, zajmując miejsce ataków HTTP DDOS (13,8%).

ddos_report_q2_en_5.png

Rozkład ataków DDoS według typu

Większość ataków w II kwartale 2015 r. trwała nie dłużej niż 24 godziny. Jednak niektóre ataki trwały tydzień lub nawet dłużej.

ddos_report_q2_en_6.png

Rozkład ataków DDoS według czasu trwania (w godzinach)

Najdłuższy atak DDoS w II kwartale 2015 r. trwał 205 godzin (8,5 dnia).

Serwery kontroli (C&C) i typy botnetów

W II kwartale 2015 r. Korea Południowa (34%) wyszła na prowadzenie pod względem liczby zlokalizowanych na swoim terytorium cyberprzestępczych serwerów kontroli, zostawiając w tyle Stany Zjednoczone (21%), Chiny (14%) oraz Wielką Brytanię (7%).Towarzyszył temu znaczny wzrost liczby ataków i celów zlokalizowanych w Korei Południowej.  

ddos_report_q2_en_7.png

Rozkład serwerów kontroli botnetów według państwa w II kwartale 2015 r.

W II kwartale 2015 r. nastąpił znaczny wzrost liczby ataków przeprowadzonych z botów dla komputerów z systemem Windows. Aktywność botów tworzonych z myślą o systemie Windows znacznie przewyższyła aktywność botów linuksowych.  

ddos_report_q2_en_8.png

Współczynnik liczby ataków przeprowadzonych z botnetów opartych na systemach Windows oraz Linux

Proporcje między aktywnością botnetów wykorzystujących system Linux i Windows zmieniała się na przestrzeni czasu, ponieważ z perspektywy cyberprzestępców każdy rodzaj botnetu posiada swoje wady i zalety.  

Botnety oparte na Linuksie oferują cyberprzestępcom możliwość manipulowania protokołami sieciowymi, podczas gdy zainfekowane serwery posiadają szybkie kanały internetowe (dlatego przeprowadzone z nich ataki są potencjalne skuteczniejsze niż ataki przeprowadzane z botnetów opartych na systemie Windows). Jednak aby stworzyć i obsługiwać botnet linuksowy, cyberprzestępca musi posiadać obszerną wiedzę na temat tego systemu, jak również znaleźć odpowiedni bot na czarnym rynku lub w innych zasobach.   

Boty wykorzystujące system Windows są powszechnie dostępne zarówno na czarnym rynku jak i w innych zasobach. Ponadto, są sprzedawane przy użyciu sprawdzonych narzędzi. Z drugiej strony, na komputerach PC istnieje dobrze rozwinięta ochrona przed szkodliwym oprogramowaniem (w przeciwieństwie do zainfekowanych serwerów opartych na Linuksie, które zwykle nie posiadają żadnej ochrony), dlatego botnety złożone z zainfekowanych komputerów PC zwykle nie działają długo. 

Zatem wykorzystywanie botów opartych na systemie Windows jest zarówno łatwiejsze jak i tańsze, jednak taki botnet zwykle nie jest w stanie przetrwać zbyt długo. Gdy istnieje wiele botnetów opartych na systemie Windows, ich łączna zdolność ataków jest większa niż w przypadku zainfekowanych serwerów działających pod kontrolą Linuksa. 

Złożone ataki

Klienci zamawiający ataki DDoS na duże organizacje są zwykle gotowi dobrze zapłacić tym, którzy pomogą im osiągnąć swój cel, dlatego takie ataki są profesjonalnie zorganizowane i złożone pod względem technicznym. 

Odpierając jeden z ataków, eksperci odpowiedzialni za Kaspersky DDoS Protection zidentyfikowali cztery metody stosowane przez osoby atakujące:  

  1. Atak NTP Amplification;
  2. Atak SSDP Amplification – stosunkowo nowa, jednak zyskująca popularność metoda;
  3. Atak SYN Flood;
  4. Atak HTTP Flood.

Wszystkie te metody zostały wykorzystane jednocześnie, a ich celem było kilka komponentów infrastruktury:

  • Ataki NPT Amplification i SSDP Amplification powodowały przeciążenie kanałów komunikacyjnych sztucznym ruchem.
  • Celem ataków SYN Flood jest infrastruktura, ataki te obciążają znacznie zapory sieciowe i wyczerpują zasoby systemu operacyjnego.  
  • Atak HTTP Flood wywiera największe obciążenie na atakowany serwer sieciowy, znacznie zwiększając liczbę żądań, co powoduje, że serwer sieciowy, aby na nie odpowiedzieć, musi zużyć wiele zasobów sprzętowych.     

Atak powiódłby się, gdyby którykolwiek z tych komponentów osiągnął swój cel. W takiej sytuacji zaatakowana organizacja poniosłaby ogromne straty finansowe i poważne szkody na reputacji. Jednak cyberprzestępcy już po 20 minutach przekonali się, że ich cel jest rzetelnie chroniony zakończyli dalsze próby ataków.

Był to najpotężniejszy ze wszystkich ataków, z jakimi eksperci ds. KDP zetknęli się w II kwartale – jego największe natężenie wynosiło 92 Gbit/s. Tak poważne ataki stanowią zagrożenie nie tylko dla określonych zasobów sieciowych, ale również hostujących je centrów danych oraz infrastruktury dostawców usług internetowych, ponieważ kanały komunikacyjne dostawców transmisji od klienta oraz centra danych mogą zostać przeciążone jeszcze przed kanałem internetowym rzeczywistego atakowanego sieciowego.   

Wnioski

W II kwartale 2015 r. celem ponad 77% ataków opartych na botnetach były zasoby sieciowe zlokalizowane w dziesięciu państwach na całym świecie. Państwa zajmujące dwa najwyższe miejsca w rankingu – Chiny i Stany Zjednoczone – utrzymały swoje pozycje z poprzednich rankingów. System monitorujący zarejestrował wzrost aktywności kilku rodzin botów, których cele były w większości zlokalizowane w Korei Południowej – to wyjaśnia trzecią lokatę zajmowaną przez to państwo w II kwartale.  

Przyjrzyjmy się technologiom wykorzystywanym do przeprowadzania tych ataków. Cyberprzestępcy, którzy tworzą botnety DDoS, oprócz konstruowania zwykłych botnetów złożonych z komputerów PC i serwerów, inwestują również w botnety złożone z urządzeń sieciowych – zwykle routerów oraz modemów DSL. Bez wątpienia, rozpowszechnienie urządzeń z kategorii Internetu Rzeczy (IoT) oraz obecna sytuacja dotycząca ich bezpieczeństwa dodatkowo motywuje rozwój tego rodzaju botnetów.

Cyberprzestępcy nadal wykazują coraz większą wytrwałość w przeprowadzaniu ataków DDoS. W II kwartale odnotowaliśmy ataki trwające nawet 8,5 dnia. W tej sytuacji nawet jeden krótkotrwały atak może wyrządzić poważne szkody firmie w formie bezpośrednich strat finansowych oraz szkód na reputacji.

Ataki DDoS służą również jako kamuflaż ataku ukierunkowanego, który mógłby spowodować wyciek istotnych danych lub ich kradzież. Wykryty przez ekspertów z Kaspersky Lab moduł DDoS wchodzi w skład zestawu narzędzi stosowanych przez ugrupowanie cyberprzestępcze Animal Farm, po raz kolejny dowodząc, że ataki DDoS stanowią skuteczne narzędzie w rękach cyberprzestępców. 

Celem ataków DDoS są organizacje wszelkiego typu. Wśród klientów chronionych przy użyciu rozwiązania Kaspersky DDoS Protection eksperci wymieniają: organizacje państwowe, duże firmy finansowe i banki, media, małe i średnie firmy, a nawet instytucje edukacyjne.  

Aby zapewnić sobie rzetelną ochronę przed tego rodzaju zagrożeniem, organizacje muszą rozważyć swoją strategię i taktykę obrony, podjąć wszelkie niezbędne działania i subskrybować usługę filtrowania niechcianego ruchu sieciowego. Należy zwrócić uwagę na fakt, że po tym, jak atak zostanie zainicjowany, uniknięcie strat będzie znacznie trudniejsze.