Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport Kaspersky DDoS Intelligence dla III kwartału 2016 r.

Tagi:

Wydarzenia w III kwartale

Cyberprzestępczość jako usługa

Na przestrzeni ostatnich kilku miesięcy ujawniona została skala globalnej infrastruktury „Cyberprzestępczości jako usługi" – która cechuje się pełną komercjalizacją, a atak DDoS stanowi jedną z najpopularniejszych usług, i umożliwia przeprowadzanie ataków, które nie miały wcześniej sobie równych pod względem liczby i złożoności technologicznej.   

Na tym tle 28 września Europol opublikował ocenę zagrożeń związanych z internetową przestępczością zorganizowaną w 2016 r. (2016 Internet Organized Crime Threat Assessment, IOCTA), opartą o doświadczenia organów ścigania z państw członkowskich Unii Europejskiej. W raporcie tym atak DDoS został wyraźnie umieszczony na pierwszym miejscu jako główne zagrożenie i stwierdzono, że „każdy, kto ma styczność z internetem, niezależnie od celu, do jakiego go używa, czy rodzaju prowadzonej działalności, musi postrzegać siebie oraz swoje zasoby jako cel cyberprzestępców."

Inicjatywa ta była prawdopodobnie związana z wydarzeniem, jakie miało miejsce na początku września, gdy ekspert ds. bezpieczeństwa Brian Krebs opublikowała swoje badanie, w którym ujawnił działania biznesowe dużej globalnej usługi ataków DDoS z wykorzystaniem botnetów o nazwie vDOS i jej głównych właścicieli, dwóch mężczyzn z Izraela. Sprawcy zostali aresztowani, a dochodzenia w tej sprawie nadal są prowadzone, jednak skala ich działalności jest szokująca

Z planu subskrypcji, której wysokość zaczyna się od 19,99 dolarów miesięcznie, wynika, że przez ostatnie dwa lata dziesiątki tysięcy klientów zapłaciło vDOS ponad 600 000 dol. W ciągu zaledwie czterech miesięcy, od kwietnia do lipca, za pośrednictwem vDOS przeprowadzono ataki trwające ponad 277 milionów sekund, generujące ruch, który można rozłożyć średnio na 8,81 lat.

Nie powinno zatem dziwić, że niedługo po tym na skutek ataku DDoS padła strona internetowa Briana Krebsa, na której ruch wynosił blisko 620 Gbps, co pozwala zaliczyć ten atak do największych w historii internetu. Większy ruch, blisko 1 Tbps, został wygenerowany nieco później w związku z atakiem na francuską organizację OVH. Według Octava Klaba, dyrektora technicznego OVH, wektor ataku - botnet IoT składający się z 152 464 urządzeń, głównie kamer internetowych, ruterów oraz termostatów - przypomina ten, który wykorzystano podczas ataku na stronę Briana Krebsa.

Co gorsze, hakerzy opublikowali kod źródłowy Mirai, który, według ekspertów ds. bezpieczeństwa, wykorzystano do przeprowadzenia wspomnianych wcześniej ataków DDoS. Kod zawiera wbudowany skaner, który szuka podatnych na ataki urządzeń IoT i przyłącza je do botnetu.  W związku z tym w kolejnych miesiącach przewidujemy nową falę usług komercyjnych, takich jak vDOS, oraz ataków DDoS.

Internet Rzeczy w coraz większym stopniu staje się potężnym narzędziem w rękach osób atakujących, czemu sprzyjają zaniedbania w zakresie bezpieczeństwa informacji zarówno po stronie producentów jak i użytkowników. 

Dlatego zachęcamy wszystkich do sprawdzenia, czy ich urządzenia połączone z internetem mają skonfigurowany wysoki poziom bezpieczeństwa.

„Polityczne" ataki DDoS

Ataki DDos są powszechnie stosowane w polityce. W lipcu tego roku trybunał międzynarodowy uznał, że roszczenia terytorialne Chin wobec archipelagu Spratly na Morzu Południowochińskim są bezpodstawne, i niemal od razu co najmniej 68 stron internetowych należących do różnych filipińskich instytucji rządowych stało się celem potężnych ataków DDoS. W międzynarodowej prasie incydenty te uznano za część długotrwałej kampanii cyberszpiegowskiej zainicjowanej przez Chiny w ramach swoich dążeń do suwerenności archipelagu Spartly.

Atak na brokera

Cyberprzestępcy zidentyfikowali najbardziej podatne cele jeśli chodzi o wyłudzanie z groźbą przeprowadzenia ataków DDoS - firmy brokerskie. Podmioty te mają wysokie obroty, a przy tym są w dużym stopniu uzależnione od usług WWW. Tajwańska firma First Securities otrzymała ostatnio od nieznanych osób żądanie zapłacenia 50 bitcoinów (około 32 000 dol.) Po tym, jak odmówiła spełnienia tego żądania, jej strona internetowa stała się celem ataku DDoS, który uniemożliwił jej świadczenie usług swoim klientom. Tymczasem prezes First Securities wydał oświadczenie dla prasy, w którym poinformował, że firma doświadczyła „spowolnienia w zakresie tranzakcji", które dotknęło jedynie niektórych inwestorów.

Ocena szkód wyrządzonych przez ataki DDoS

Na zlecenie Kaspersky Lab firma B2B International przeprowadziła badanie o nazwie Zagrożenia dla bezpieczeństwa IT w 2016 r., które pokazuje, że korporacje ponoszą coraz większe szkody na skutek ataków DDoS: jeden atak może narazić firmę na straty w wysokości ponad 1,6 miliarda dolarów. Jednocześnie, 8 na 10 firm jest celem kilku takich ataków rocznie.

Trend kwartału: ataki DDoS oparte na SSL

Według Kaspersky DDoS Protection, w badanym kwartale wzrosła liczba „inteligentnych” ataków DDoS opartych na HTTPS wymierzonych w aplikacje. Ataki tego rodzaju posiadają wiele istotnych zalet, które zwiększają ich skuteczność.      

Chociaż prędkości robocze algorytmów kryptograficznych nieustannie zwiększają się, nawiązanie bezpiecznego połączenia wymaga znacznych zasobów. Dla porównania można nadmienić, że poprawnie skonfigurowany serwer WWW potrafi przetwarzać dziesiątki tysięcy nowych połączeń HTTP na sekundę, jednak podczas przetwarzania połączeń zaszyfrowanych możliwości te zmniejszają się do zaledwie setek połączeń na sekundę.   

Wykorzystanie sprzętowych akceleratorów kryptograficznych pozwala znacznie zwiększyć tę wartość. Jednak nie na wiele się to przydaje, jeśli weźmiemy pod uwagę to, że obecnie istnieją tanie i łatwo dostępne serwery na wynajem, kanały komunikacyjne o dużej pojemności oraz znane luki w zabezpieczeniach, które pozwalają cyberprzestępcom tworzyć większe botnety. Mogą oni przeprowadzić skuteczny atak DDoS generując obciążenie, które przekracza możliwości drogich rozwiązań sprzętowych.    

Typowym przykładem „ inteligentnego” ataku jest stosunkowo niewielka liczba zapytań wysłanych do „obciążonych” części stron internetowych (zwykle wybiera się do tego celu formularze wyszukiwania) poprzez niewielką liczbę zaszyfrowanych połączeń. Takie zapytania są niemal niewidoczne w łącznym ruchu, a przy niskiej intensywności często są niezwykle skuteczne. Jednocześnie deszyfracja i analiza ruchu jest możliwa tylko po stronie serwera WWW.    

Szyfrowanie komplikuje również działanie wyspecjalizowanych systemów przeznaczonych do ochrony przed atakami DDoS (zwłaszcza rozwiązań wykorzystywanych przez dostawców usług łączności). Deszyfrowanie ruchu w locie w celu analizy zawartości pakietów sieciowych często nie jest możliwe podczas tego rodzaju ataków ze względów technicznych lub bezpieczeństwa (nie zezwala się na przekazanie prywatnego klucza serwera organizacjom zewnętrznym, ograniczenia matematyczne uniemożliwiają dostęp do informacji w zaszyfrowanych pakietach). To znacznie zmniejsza skuteczność ochrony przed takimi atakami. 

Przyczyną coraz większego odsetka „inteligentnych” ataków DDoS jest w dużym stopniu fakt, że ataki polegające na sztucznym potęgowaniu ruchu - najpopularniejszy rodzaj ataków w ostatnich czasach – stają się coraz trudniejsze do przeprowadzenia. Stale zmniejsza się liczba serwerów w Internecie, które mogą być wykorzystane do przeprowadzania takich ataków. Ponadto większość z takich ataków posiada podobne cechy, co ułatwia ich całkowite zablokowanie, a możliwość zapewnienia ich skuteczności z czasem zmniejsza się. 

Dążenie właścicieli stron internetowych do zapewnienia ochrony danym i zwiększenia poziomu prywatności, w połączeniu z tańszymi możliwościami obliczeniowymi, przyczyniły się do coraz wyraźniejszego trendu: klasyczny protokół http jest zastępowany przez HTTPS, co prowadzi do wzrostu odsetka zasobów wykorzystujących szyfrowanie. Rozwój technologii WWW zachęca do aktywnej implementacji nowego protokołu HTTP/2, w którym operacje bez szyfrowania nie są obsługiwane przez najnowsze przeglądarki.   

Wierzymy, że liczba ataków wykorzystujących szyfrowanie będzie się zwiększać. W przypadku twórców rozwiązań bezpieczeństwa informacji, oznacza to pilną konieczność zrewidowania swojego podejścia do zwalczania ataków rozproszonych, ponieważ obecne znane i wypróbowane rozwiązania mogą wkrótce stać się nieskuteczne.   

 

Statystyki dotyczące ataków DDoS przeprowadzanych przy użyciu botnetów

Metodologia

Kaspersky Lab posiada spore doświadczenie w zwalczaniu cyberzagrożeń, łącznie z atakami DDoS różnego rodzaju i poziomu złożoności. Eksperci firmy monitorują aktywność botnetów przy pomocy systemu DDoS Intelligence.

System DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) został stworzony w celu przechwytywania i analizowania poleceń wysyłanych do botów z serwerów kontroli (C&C). Aby zebrać dane, system nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników czy wykonane polecenia cyberprzestępców.

Przedstawiany raport zawiera statystyki pochodzące z systemu DDoS Intelligence obejmujące trzeci kwartał 2016 r.

W kontekście tego raportu jeden (osobny) atak DDoS oznacza incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Gdyby ten sam zasób sieciowy został zaatakowany przez ten sam botnet po przerwie trwającej ponad 24 godziny, mówilibyśmy o osobnym ataku DDoS. Ataki na ten sam zasób sieciowy z dwóch różnych botnetów również uważa się za osobne ataki.

Rozkład geograficzny ofiar ataków DDoS oraz serwerów kontroli określa się za pomocą ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana na podstawie liczby unikatowych adresów IP w statystykach kwartalnych.

Należy zauważyć, że statystyki DDoS Intelligence ograniczają się jedynie do botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Ponadto botnety stanowią zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego też przedstawione w tym raporcie dane nie obejmują każdego ataku DDoS, który miał miejsce w danym okresie.

Podsumowanie III kwartału

  • W III kwartale 2016 r. ataki DDoS były wymierzone w zasoby znajdujące się w 67 krajach.
  • 62,6% atakowanych zasobów było zlokalizowanych w Chinach.
  • Pod względem liczby ataków DDoS oraz liczby celów w czołówce nadal znajdowały się Chiny, Stany Zjednoczone oraz Korea Południowa. Po raz pierwszy w obu rankingach znalazły się Włochy
  • Najdłuższy atak DDoS w III kwartale 2016 r. trwał 184 godzin (czyli 7,6 dnia) – znacznie krócej niż wynosi rekord poprzedniego kwartału (291 godzin lub 12,1 dnia).
  • W badanym okresie celem największej liczby ataków (19) była popularna wyszukiwarka chińska.
  • SYN DDoS, TCP DDoS oraz HTTP DDoS pozostają najczęstszymi scenariuszami ataków DDoS. Odsetek ataków przy użyciu metody SYN DDoS nadal odnotowywał wzrost (o 5 punktów procentowych), podczas gdy odsetki ataków przy pomocy metod TCP DDoS i HTTP DDoS nadal zmniejszały się.
  • W III kwartale 2016 r. odsetek ataków przeprowadzonych z botnetów pod kontrolą systemu Linuks nadal zwiększał się, stanowiąc 78,9% wszystkich wykrytych ataków. 

Rozkład geograficzny ataków

W III kwartale 2016 r. obszar celów ataków DDoS zawęził się do 67 państw, przy czym 72,6% ataków dotknęło Chiny (o 4,8 punktu procentowego mniej niż w poprzednim kwartale). W rzeczywistości 97,3% atakowanych zasobów było zlokalizowanych w zaledwie 10 krajach. Pozostałe dwa państwa w pierwszej trójce zamieniły się miejscami – Stany Zjednoczone (12,8%) wyprzedziły Koreę Południową (6,3%), stając się drugim najczęściej atakowanym państwem.

ddos_q3_en_1_auto.jpg

Rozkład geograficzny ataków DDoS według państwa, II kwartał 2016 r. a III kwartał 2016 r.

Nowością w rankingu najbardziej atakowanych państw były Włochy, które weszły do tego zestawienia po raz pierwszy w historii i stanowiły cel 0,6% wszystkich ataków. Łącznie, w rankingu TOP 10 znalazły się trzy państwa zachodnioeuropejskie (Włochy, Francja i Niemcy).   

Ze statystyk dotyczących badanego kwartału wynika, że państwa stanowiące dziesiątkę najbardziej atakowanych stanowiły cel 96,9% wszystkich ataków.

ddos_q3_en_2_auto.jpg

Rozkład geograficzny celów ataków DDoS według państwa, II kwartał 2016 r. a III kwartał 2016 r.

W III kwartale 2016 r. 62,6% ataków (o 8,7 punktu procentowego mniej niż w poprzednim kwartale) było wymierzonych w zasoby zlokalizowane w Chinach. Jednak zasoby w Stanach Zjednoczonych stały się bardziej atrakcyjne dla cyberprzestępców – udział tego państwa w liczbie zaatakowanych celów wynosił 18,7%. Dla porównania, w poprzednim kwartale stanowił on 8,9%. Pierwszą trójkę zamknęła Korea Południowa – jej udział zmniejszył się o 2,4 punkty procentowe i wynosił 8,7%.    

Wzrosły udziały pozostałych państw w zestawieniu TOP 10 z wyjątkiem Francji (0,4%), która odnotowała spadek o 0,1 punktu procentowego. Z kolei Japonia (1,6%) i Włochy (1,1%) odnotowały wzrost o 1 punkt procentowy. W efekcie Włochy po raz pierwszy w historii weszły do rankingu TOP 10, gdzie od razu uplasowały się na 6 miejscu (Ukraina wypadła z pierwszej dziesiątki). Odsetek ataków wymierzonych w Rosję również znacząco wzrósł – z 0,8% do 1,1%.         

W rankingu znalazły się również trzy państwa zachodnioeuropejskie – Włochy, Francja i Holandia.

Zmiany i liczbie ataków DDoS

Aktywność DDoS była stosunkowo nierównomierna w III kwartale 2016 r. Okres od 21 lipca do 7 sierpnia odznaczał się dużą aktywnością DDoS, przy czym największą liczbę ataków zarejestrowano 23 lipca i 3 sierpnia. Od 8 sierpnia aktywność DDoS zmniejszyła się i nastąpił spokojny okres, który trwał od 14 sierpnia do 6 września. Najmniejsza liczba ataków została odnotowana 3 września (22 ataki). Z kolei największą liczbę ataków zarejestrowano 3 sierpnia – 1 746. Warto podkreślić, że jest to najwyższa liczba ataków na przestrzeni pierwszych trzech kwartałów 2016 roku. Większość z tych ataków miało miejsce na serwerach należących do jednego dostawcy usług w Stanach Zjednoczonych.    

ddos_q3_en_3_auto.jpg

Liczba ataków DDoS na przestrzeni czasu* w III kwartale 2016 roku

*Ataki DDoS mogą trwać kilka dni. W tym przedziale czasowym ten sam atak może zostać policzony kilkakrotnie, tj. jeden raz dla każdego dnia jego trwania.

W III kwartale najaktywniejszym dniem tygodnia jeśli chodzi o ataki DDoS był piątek (17,3% ataków), następnie czwartek (15,2%). Najspokojniejszym dniem pod względem ataków DDoS okazał się poniedziałek (12,6%).

ddos_q3_en_4_auto.jpg

Rozkład liczby ataków DDoS według dnia tygodnia, II i III kwartał 2016 r.

Rodzaje i czas trwania ataków DDoS

Ranking najpopularniejszych metod ataków nie odnotował znaczących zmian w stosunku do poprzedniego kwartału. Metoda SYN DDoS jeszcze bardziej umocniła swoją pozycję lidera: jej udział zwiększył się z 76% do 81%. Odsetek pozostałych typów ataków nieznacznie zmniejszył się. Największy spadek odnotowała metoda ICMP DDoS (o 2,6 punktu procentowego).

ddos_q3_en_5_auto.jpg

Rozkład ataków DDoS według rodzaju, II i III kwartał 2016 r.

Najpopularniejsze nadal były ataki trwające nie dłużej niż cztery godziny: w III kwartale ich udział zwiększył się o 9,2 punktu procentowego i stanowił 69%. Na drugim miejscu utrzymały się ataki trwające 5-9 godzin. Natomiast odsetek dłuższych ataków znacznie zmniejszył się – udział ataków trwających 100-149 godzin zmniejszył się z 1,7% w II kwartale do 0,1% w trzecim kwartale. Pojawiły się bardzo nieliczne przypadki ataków trwających dłużej.       

ddos_q3_en_6_auto.jpg

Rozkład ataków DDoS według długości trwania (w godzinach), II i III kwartał 2016 r.

Najdłuższy atak DDoS w III kwartale 2016 r. trwał zaledwie 184 godziny (jego celem był chiński dostawca), znacznie krócej niż wynosił najdłuższy atak w II kwartale (291 godzin). Chińską wyszukiwarkę spotkał wątpliwy zaszczyt najbardziej atakowanego zasobu – w badanym kwartale stanowiła ona cel aż 19 razy. 

Typy serwerów kontroli i botnetów

W III kwartale najwięcej serwerów kontroli (C&C) (45,8%) wykryto w Korei Południowej, jednak udział tego państwa jest znacznie mniejszy w porównaniu z poprzednim kwartałem (69,6%). 

Trzy państwa hostujące najwięcej serwerów kontroli nie zmieniły się – Korea Południowa, Chiny oraz Stany Zjednoczone – chociaż ich łączny udział wynosił 67,7% (dla porównania, w II kwartale stanowił 84,8%). 

Zwiększa się liczba aktywnych serwerów kontroli w Europie Zachodniej – w zestawieniu TOP 10 znalazła się Holandia (4,8%), Wielka Brytania  (4,4%) oraz Francja (2%). Podsumowując, trzy państwa zachodnioeuropejskie znalazły się zarówno w rankingu TOP 10 państw, które odnotowały najwyższą liczbę ataków, jak i w rankingu TOP 10 państw o najwyższej liczbie atakowanych zasobów. 

Wśród nowości w rankingu serwerów kontroli znalazł się Hing Kong i Ukraina – udział obu krajów wynosił 2%.   

ddos_q3_en_7_auto.jpg

Rozkład serwerów kontroli botnetów według państwa w III kwartale 2016 r.

W III kwartale nadal dominowały boty DDoS oparte na systemie Linux, a udział ataków przeprowadzanych z botnetów pod kontrolą Linuksa ciągle zwiększał się i wynosił 78,9% (dla porównania w II kwartale stanowił 70,8%). Można tu zauważyć korelację z rosnącą popularnością ataków typu SYN DDoS, w przypadku których boty oparte na Linuksie stanowią najodpowiedniejsze narzędzie. Ponadto trend ten można wyjaśnić rosnącą popularnością wykorzystywanych do ataków DDoS urządzeń Internetu Rzeczy opartych na Linuksie. Po wycieku kodu źródłowego Mirai będzie on prawdopodobnie jeszcze wyraźniejszy.      

ddos_q3_en_8_auto.jpg

Korelacja pomiędzy atakami przeprowadzonymi z botnetów opartych na systemach Windows i Linux, II i III kwartał 2016 r.

W III kwartale utrzymał się trend dominacji systemu Linux. Przed II kwartałem 2016 r. różnica pomiędzy udziałami botnetów opartych na systemie Windows i Linux nie przekraczała 10 punktów procentowych przez kilka kwartałów z rzędu.

Większość ataków – 99,8% – zostało przeprowadzonych przez boty należące do jednej rodziny. Cyberprzestępcy przeprowadzali ataki przy użyciu botów z dwóch różnych rodzin w zaledwie 0,2% przypadków.

Zakończenie

„Klasyczne” ataki przeprowadzane za pośrednictwem botnetów, oparte na szeroko rozpowszechnionych szkodliwych narzędziach takich jak Pandora, Drive itd. zostały dokładnie zbadane przez analityków, którzy opracowali skuteczne i proste metody neutralizowania ataków wykorzystujących te narzędzia. Coraz bardziej skłania to cyberprzestępców do stosowania bardziej wyrafinowanych metod ataków, w tym szyfrowania danych oraz nowych podejść do rozwoju narzędzi wykorzystywanych do organizowania ataków i budowania botnetów.   

Kolejnym ciekawym trendem w badanym kwartale był wzrost aktywności botnetów DDoS w Europie Zachodniej. Po raz pierwszy od roku w rankingu TOP 10 najbardziej atakowanych państw znalazły się trzy państwa zachodnioeuropejskie – Włochy, Francja i Niemcy. Koreluje to ze wzrostem liczby aktywnych serwerów kontroli w Europie Zachodniej, szczególnie we Francji, Wielkiej Brytanii oraz Holandii. Ogólnie, państwa zachodnioeuropejskie odpowiadały za około 13% aktywnych serwerów kontroli botnetów służących do przeprowadzania ataków DDoS.