Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w II kwartale 2011 r.

Tagi:

Wiaczesław Zakorzewski
Ekspert z Kaspersky Lab

Wszystkie dane statystyczne w tym raporcie zostały uzyskane przy użyciu systemu firmy Kaspersky Lab służącego do monitorowania botnetów oraz systemu zapobiegania atakom DDoS.

Kwartał w liczbach

  • Najpotężniejszy atak zablokowany przez system Kaspersky DDoS Prevention (zapobieganie atakom DDoS) w II kwartale: 500 Mbps
  • Średnia moc ataków zablokowanych przez Kaspersky DDoS Prevention: 70 Mbps
  • Najdłuższy atak DDoS w II kwartale trwał 60 dni, 1 godzina 21 minut i 9 sekund
  • Największa liczba ataków DDoS na jedną stronę w II kwartale: 218.

DDoS a protesty

Ataki DDoS nie są już przeprowadzane jedynie dla korzyści finansowych. Cyberprzestępcy coraz częściej atakują zasoby rządowe lub strony dużych firm, aby pochwalić się swoimi umiejętnościami, pokazać swoją siłę lub, w niektórych przypadkach, w ramach protestu. Tego rodzaju ataki otrzymują największy rozgłos w mediach.

Najaktywniejszymi grupami hakerskimi w drugim kwartale 2011 były LulzSec i Anonymous. Hakerzy z tych grup organizowali ataki DDoS na strony rządowe w Stanach Zjednoczonych, Wielkiej Brytanii, Hiszpanii, Turcji, Iranie oraz kilku innych krajach. Zdołali tymczasowo zdjąć takie strony, jak cia.gov oraz www.soca.gov.uk (Brytyjska agencja do zwalczania poważnej przestępczości zorganizowanej). Ich działania pokazują, że nawet strony rządowe, zabezpieczone przez wyspecjalizowane agencje, nie są odporne na ataki DDoS.

Ataki na strony rządowe stanowią ryzykowne posunięcie dla hakerów, ponieważ natychmiast zwracają uwagę organów ścigania. W II kwartale 2011 r. pod zarzutem przeprowadzenia ataków DDoS na strony rządowe aresztowano ponad 30 członków grupy Anonymous. Ponieważ władze nadal prowadzą dochodzenie, można spodziewać się kolejnych aresztowań. Jednak nie wszyscy winni zostaną skazani, ponieważ w wielu państwach udział w organizowaniu ataków DDoS nadal nie jest uważany za przestępstwo.

Jedną z większych firm, które padły ofiarą poważnego ataku, była firma Sony. Pod koniec marca Sony wniósł powództwo przeciwko kilku hakerom, oskarżając ich o włamanie się do firmware’u popularnej konsoli PlayStation 3. W ramach protestu przeciwko działaniom Sony Anonymous zorganizował atak DDoS, który na pewien czas sparaliżował strony PlayStationnetwork.com. Jednak był to zaledwie wierzchołek góry lodowej. Według Sony, podczas ataku DDoS włamano się do serwerów usługi PSN i skradziono dane 77 milionów użytkowników. Niezależnie od tego, czy było to działanie celowe, atak DDoS przeprowadzony przez Anonymous stanowił taktykę dywersyjną mającą na celu kradzież ogromnej ilości danych i, ostatecznie, negatywnie wpłynął na reputację Sony.

Ataki DDoS na portale społecznościowe

Drugi kwartał 2011 roku zostanie prawdopodobnie zapamiętany przez rosyjskich użytkowników Internetu jako ten, w którym miała miejsce seria ataków na LiveJournal. Zasób ten cieszy się popularnością wśród najróżniejszych grup użytkowników – swoje blogi mają tam gospodynie domowe, fotografowie, piloci, a nawet politycy. Według naszego systemu monitorującego botnety, masowe ataki na LiveJournal rozpoczęły się od atakowania dzienników o charakterze politycznym, w szczególności Aleksieja Nawalnego – aktywisty politycznego i antykorupcyjnego.

Nasz system monitorowania botnetów śledził botnet o nazwie Optima wykorzystany w atakach DDoS na LiveJournal. W okresie od 23 marca do 1 kwietnia Optima otrzymywał polecenia atakowania strony o tematyce antykorupcyjnej http://rospil.info, http://www.rutoplivo.ru oraz http://navalny.livejournal.com, jak również strony fabryki meblowej http://www.kredo-m.ru. Strona http://navalny.livejournal.com była atakowana tylko w określone dni. Na początku kwietnia botnet otrzymał polecenie atakowania długiej listy adresów LiveJournal należących w większości do popularnych blogerów piszących na różne tematy.

Botnet Optima znany jest na rynku od końca 2010 r. Na podstawie użytego kodu można powiedzieć, że boty Optima są rozwijane przez rosyjskojęzycznych twórców szkodliwego oprogramowania i sprzedawane głównie na rosyjskojęzycznych forach. Ze względu na dużą segmentację trudno określić rozmiar tego botnetu. Jednak nasz system monitoringu zarejestrował boty Optima, które atakowały LiveJournal, otrzymując polecenia pobrania innych szkodliwych programów. To oznacza, że Optima składa się z dziesiątek tysięcy zainfekowanych maszyn, ponieważ takie działanie uważa się za nieopłacalne w przypadku małych botnetów.

Motywy ataków na LiveJournal pozostają niejasne, ponieważ jak na razie nikt się do nich nie przyznał. Do momentu zidentyfikowania cyberprzestępców stojących za takimi atakami trudno będzie stwierdzić, czy zostały przeprowadzone na zlecenie czy stanowią tylko demonstrację siły.

Ataki DDoS na portale społecznościowe stają się coraz częstsze, ponieważ serwisy te pozwalają na natychmiastową wymianę informacji między dziesiątkami tysięcy użytkowników. Proces ten może zostać zablokowany, chociażby na krótki czas, tylko przy pomocy ataków DDoS.

W najbliższej przyszłości spodziewamy się dalszego wzrostu liczby ataków tego typu.

Komercyjne ataki DDoS

Również zwykli przestępcy nadal wykorzystują ataki DDoS. Jednakże informacje o atakach, których celem jest wyłudzenie pieniędzy od organizacji lub szantażowanie ich, rzadko są upubliczniane, a jeżeli już wychodzą na jaw, zwykle mają związek ze wszczętym dochodzenia.

W kwietniu sąd w Dusseldorfie wydał wyrok przeciwko cyberprzestępcy, który próbował szantażować sześć niemieckich bukmacherów podczas Mistrzostw Świata 2010. Skazany posłużył się dobrze znanym schematem: zastraszenie, ataki demonstracyjne na stronę ofiary oraz wiadomość zawierająca żądanie okupu. Trzy z sześciu biur bukmacherskich zgodziły się zapłacić szantażyście. Według bukmacherów, jeżeli strona jest nieczynna przez kilka godzin, straty z tego tytułu mogą wynieść 25-40 000 Euro w przypadku dużych biur oraz 5-6 000 w przypadku małych. Co ciekawe, oszust zażądał tylko 2000 euro. Otrzymał pieniądze w kuponach U-cash – metodę tą wykorzystywał już autor dobrze znanego trojana GpCode. Sąd skazał cyberprzestępcę na prawie trzy lata pozbawienia wolności – jest to pierwszy przypadek w historii sądownictwa niemieckiego, gdy skazano kogoś za przeprowadzenie ataku DDoS. Tego rodzaju ataki są klasyfikowane przez sądy niemieckie jako sabotaż komputerowy, a ich sprawcom grozi do 10 lat pozbawienia wolności.

W czerwcu z tematem ataków DDoS zmierzył się również rosyjski wymiar sprawiedliwości. 24 czerwca moskiewski sąd wyraził zgodę na aresztowanie Pawła Wrublewskiego, właściciela ChronoPay, największego w Rosji dostawcy internetowych usług płatniczych. Wrublewski został oskarżony o zorganizowanie ataku DDoS na konkurencyjną firmę Assist w celu pozbawienia go szans w przetargu na lukratywny kontrakt na obsługę płatności dla Aeroflot, największych w Rosji linii lotniczych. Źródło blisko związane ze śledztwem poinformowało, że Wrublewski jest również uważany za właściciela sieci afiliowanej Rx-Promotion, która specjalizuje się w rozprzestrzenianiu spamu farmaceutycznego.

Podsumowanie statystyk

Rozkład ataków DDoS według państwa

Według naszych statystyk dla II kwartału 2011 r. 89% ruchu wygenerowanego przez ataki DDoS zostało wygenerowane w 23 państwach. Rozkład źródeł ataków DDoS był dość równomierny w tych państwach – każde z nich odpowiadało za 3-5% ruchu DDoS.

 enlarge.gif
Dystrybucja ataków DDoS według państw w II kwartale 2011

Najwięcej ataków było przeprowadzanych ze Stanów Zjednoczonych i Indonezji – każde z tych państw odpowiadało za 5% całego ruchu DDoS.

Czołowa pozycja Stanów Zjednoczonych wynika z dużej liczby komputerów w tym państwie. W zeszłym roku amerykańskie organy ścigania przeprowadziły udaną kampanię antybotnetową, która doprowadziła do zamknięcia wielu botnetów. Istnieje prawdopodobieństwo, że cyberprzestępcy będą próbowali przywrócić utracone zasoby botnetowe, a liczba ataków DDoS wzrośnie.

Z kolei duża liczba zainfekowanych komputerów w Indonezji oznacza, że państwo to zajmuje również wysoką pozycję w rankingu wielkości ruchu DDoS. W II kwartale 2011 r. prawie co druga maszyna (48%) w indonezyjskim segmencie Kaspersky Security Network, rozproszonej na całym świecie sieci Kaspersky Lab umożliwiającej monitorowanie zagrożeń, padła ofiarą lokalnej próby infekcji szkodliwym oprogramowaniem. Tak wysoki odsetek zablokowanych lokalnych prób infekcji wynika z dużej liczby niechronionych komputerów wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania.

Wśród państw odpowiedzialnych za mniej niż 3% całego ruchu spowodowanego atakami DDoS znalazły się również te o wysokim poziomie komputeryzacji i bezpieczeństwa IT (Japonia, Hong Kong, Singapur), jak również państwa, w którym liczba komputerów na jedną osobę jest znacznie niższa, a ochrona antywirusowa pozostawia wiele do życzenia (Indie, Wietnam, Oman, Egipt, Filipiny itd.).

Rozkład zaatakowanych stron WWW według rodzaju działalności online

W II kwartale cyberprzestępcy coraz częściej atakowali strony umożliwiające handel online, łącznie ze sklepami internetowymi, aukcjami itp. – strony z tej kategorii odpowiadały za jedną czwartą wszystkich ataków. Nie powinno to dziwić: handel online w dużym stopniu zależy od dostępności strony, a każda godzina niedostępności serwisu oznacza utratę klientów i zysków. To wyjaśnia, dlaczego tego typu strony były najczęstszym celem ataków – ich motywem była zazwyczaj walka konkurencyjna lub wyłudzenia.

 enlarge.gif
Rozkład atakowanych stron według obszarów działalności. II kwartał 2011 r.

Drugim pod względem popularności celem były strony związane z grami. Jak wskazuje system monitoringu firmy Kaspersky Lab, celem największej liczby ataków był EVE Online oraz powiązane strony. Pod koniec 2010 r. gra MMORPG posiada 357 000 aktywnych graczy. Jedna ze stron publikujących wiadomości dotyczące EVE Online padła ofiarą jednego z najdłuższych ataków – boty DDoS atakowały ją przez 35 dni. Niechcianym zainteresowaniem cyberprzestępców cieszyły się również WoW i Lineage, jednak najbardziej ucierpiały różne pirackie serwery tych gier.

Trzecie i czwarte miejsca zajmują odpowiednio elektroniczne giełdy i banki. Cyberprzestępcy atakują platformy handlowe bardziej w celu zatarcia swoich śladów po oszukańczych transakcjach niż wyłudzenia pieniędzy. Na skutek przeprowadzenia takich operacji straty ponoszą zarówno organizacje finansowe jak i ich klienci. Dlatego odporność serwisu na ataki DDoS jest czynnikiem, który może mieć bezpośredni wpływ na jego reputację.

Co ciekawe, dość duży odsetek ataków DDoS dotyczył stron z branży mas mediów (7%) oraz blogów i forów (8%), które zasadniczo stanowią formę portali społecznościowych. Wcześniej wspominaliśmy o atakach na LiveJournal. Zawsze znajdzie się ktoś, kto nie zgodzi się z jakąś opinią wyrażoną przez inną osobę zgodnie z zasadą wolności wypowiedzi, i wygląda na to, że ataki DDoS są obecnie wykorzystywane jako metoda uciszania takich niepożądanych wypowiedzi.

Strony rządowe stanowią 1% wszystkich atakowanych stron, jednak odsetek ten nie uwzględnia ataków przeprowadzonych przez grupę Anonymous przy użyciu “dobrowolnego” botnetu opartego na LOIC, programu wykorzystywanego do przeprowadzania ataków. Ataki DDoS są coraz częściej wykorzystywane do przeprowadzania protestów przeciwko agencjom rządowym w wielu państwach i w przyszłości możemy spodziewać się wzrostu ich liczby.

Typy ataków DDoS

W II kwartale 2011 r. system monitorujący firmy Kaspersky Lab przechwycił ponad 20 000 sieciowych poleceń przeprowadzeania ataków na różne strony.

 enlarge.gif
Typy ataków DDoS. II kwartał 2011 r.

Najpopularniejszą metodą atakowania stron jest przepełnienie HTTP (88,9%): przez krótki czasu do atakowanej strony wysyłana jest ogromna liczba zapytań HTTP. W większości przypadków wyglądają one jak standardowe zapytania od użytkowników, co utrudnia ich filtrowanie. To sprawia, że tego typu ataki DDoS cieszą się większą popularnością wśród cyberprzestępców niż inne.

Ataki SYN Flood stanowią drugi pod względem popularności typ ataków (5,4%). Podczas takich ataków botnety wysyłają liczne pakiety danych do serwera sieciowego w celu ustanowienia połączenia TCP. Ponieważ cyberprzestępcy manipulują pakietami, więc połączenia serwerowe nie zostają ustanowione, a raczej pozostawione do połowy otwarte. Ponieważ serwer może utrzymywać tylko ograniczoną liczbę połączeń w danym czasie, a botnety mogą w krótkim czasie wygenerować wiele zapytań, atakowany serwer wkrótce stanie się niezdolny do przyjmowania połączeń od zwykłych użytkowników.

Ataki DDoS na serwery DNS (0,2%) stanowią najmniej popularny typ ataków. W wyniku tego rodzaju ataków serwery DNS nie mogą przetwarzać nazw stron na adresy IP, dlatego strony obsługiwane przez zaatakowany serwer stają się niedostępne dla użytkowników. Ten rodzaj ataków jest szczególnie szkodliwy, ponieważ na skutek jednego ataku setki a nawet tysiące stron internetowych mogą stać się niedostępne.

Podczas ataku DDoS na jeden zasób sieciowy boty otrzymały polecenia wysłania zapytań średnio do dwóch podstron na atakowanej stronie. Jeżeli porównamy liczbę ataków na nazwy stron oraz na adresy IP, okazuje się, że atakowane są głównie adresy IP: celem 72% wszystkich ataków były adresy IP.


Rozkład ataków DDoS według celów: nazwy stron a adresy IP. II kwartał 2011

Ewolucja aktywności botnetów DDoS

Po przeanalizowaniu wszystkich dostępnych danych możemy powiedzieć, w które dni tygodnia cyberprzestępcy preferują przeprowadzanie ataków lub zdejmowanie stron.


Rozkład ataków DDoS według dni tygodnia. II kwartał 2011 r.

Najbardziej wzmożone wykorzystywanie Internetu przypada na dni powszednie. To właśnie w te dni różne zasoby sieciowe cieszą się największym zapotrzebowaniem i ataki DDoS mogą wyrządzić im maksymalną szkodę. Innym istotnym czynnikiem jest to, że komputery są częściej włączane w dni powszednie, dlatego istnieje więcej aktywnych botów. W efekcie, szczytowa aktywność cyberprzestępcza przypada na okres od poniedziałku do czwartku – w te dni ma miejsce średnio 80% wszystkich ataków DDoS.

Wnioski

Ataki DDoS od dawna są wykorzystywane do celów przestępczych, ostatnio jednak coraz częściej są przeprowadzane w ramach protestów zarówno przeciwko rządom jak i dużym korporacjom. Takie ataki zyskują szeroki rozgłos w mediach i zwykle stają się przedmiotem śledztwa prowadzonego przez organy ścigania. Jako że protesty wykorzystujące ataki DDoS zyskują na popularności, możemy spodziewać się wzrostu liczby takich ataków na strony organów rządowych w różnych państwach.

Nie oznacza to, że ataki DDoS nie są już wykorzystywane podczas wyłudzeń i szantaży. Jednak ofiary takich incydentów, ze względu na ochronę swojej reputacji, rzadko informują o nich opinię publiczną. Cyberprzestępcy coraz częściej wykorzystują ataki DDoS jako taktykę odwrócenia uwagi podczas przeprowadzania bardziej wyrafinowanych ataków, takich jak te, których celem są systemy bankowości online. Złożone ataki tego typu są szczególnie szkodliwe, ponieważ mogą spowodować znaczące straty, zarówno dla instytucji finansowych jak i ich klientów.

Większość stron WWW, z którymi mamy styczność w związku z atakami DDoS, które zostały na nie przeprowadzone, wymaga znacznie większej ochrony. Problem ten staje się tym bardziej poważniejszy, że skończył się sezon wakacyjny i coraz więcej komputerów zostało włączonych ponownie, łącznie z kontrolowanymi przez botmasterów maszynami zombie, za sprawą których ataki DDoS są jeszcze bardziej potężne i dotkliwe.

Źródło:
Kaspersky Lab