Anatomia ataków DDoS: branża gamingowa najbardziej zagrożona

O ile w 2016 r. temat ataków typu DDoS/DoS (Distributed Denial of Service / Denial of Service) – ataków na system lub usługę sieciową celem jej sparaliżowania – rozgrzewał regularnie media, o tyle w 2017 roku stracił on nieco na „popularności” na rzecz ransomware. Nie znaczy to jednak, że zagrożenie zniknęło. Wręcz przeciwnie, statystyki OVH z 2017 r. dowodzą, że wciąż doskonalone technicznie ataki typu DDoS/DoS są wyzwaniem zarówno dla graczy online oraz dostawców usług chmury i Internetu (ISP).

Tylko w 2017 roku, stworzony przez OVH system automatycznego przejmowania i neutralizacji ataków DDoS wykrywał średnio 1800 ataków dziennie (ok. 50 tys. miesięcznie). Co ciekawe, ta sama technologia wykazała, że „najspokojniejszy” był 16 marca (zaledwie 981 ataków), a rekord roku przypadł na 4 października 2017 roku (7415 ataków). Na podstawie analiz adresów IP, które zaatakowano oraz danych o użytkownikach tych adresów, dostawcy są w stanie zidentyfikować główne cele.

Celem najczęstszych ataków DDoS/DoS gaming i sprzedaż online

Największym zainteresowaniem atakujących cieszą się usługi gier online, a liderem pozostają serwery serii Minecraft. Nie słabnie także rywalizacja pomiędzy administratorami serwerów gier, angażujących się w prawdziwe cyberwojny. Serwery popularnych gier generują dochód, który motywuje administratorów do wzajemnego atakowania w celu obniżenia jakości usług konkurencji.

Dane Akamai Technologies, zajmującej się m.in. przechowywaniem danych np. na rzecz Apple AppStore, ale także właśnie usługami ochrony przed atakami DDoS/DoS, pokazują, że w III i VI kwartale 2017 roku ataki na serwery gamingowe stanowiły odpowiednio 86% i 79% spośród wszystkich zagrożeń tego typu (Raport Akamai Technologies, „Q4 2017 State of the Internet / Security Report”, luty 2018 r.). Według statystyk, drugie miejsce zajmują platformy e-commerce.

W przypadku branży e-commerce równej mierze ofiarami ataków DDoS/DoS padają duzi gracze, jak i małe sklepy o umiarkowanym ruchu. Chodzi o próby wymuszania, przy czym ich schemat jest często powtarzalny. Po pierwszym ataku, haker wysyła mail, żądając okupu zwykle w wirtualnej walucie Bitcoin (BTC) lub w Monero (XMR). Jako że w większości są to puste groźby, eksperci zalecają, aby nie ulegać szantażowi. W przeciwnym wypadku dotuje się działalność przestępczą, bez gwarancji, że po zapłacie okupu ataki się nie powtórzą. Skutecznym rozwiązaniem jest wybranie usług dostawcy oferującego rozwiązania chroniące przed atakami DDoS/DoS, który będzie umiał przeciwdziałać atakom, co zniechęci napastników. Ofertę tego typu ma co najmniej kilka firm działających w Polsce.

Motywy ataków DDoS/DoS

Pozostałe rodzaje atakowanych usług są niejednorodne, dlatego ciężko je sklasyfikować. Wśród celów znajdują się innowacyjne startupy, administracja publiczna lub serwisy informacyjne (media czy blogi). Każdy może być potencjalną ofiarą cyberzagrożeń. Motywacja ataków też jest różna – od rywalizacji pomiędzy konkurencją, przez spory z użytkownikami, po cenzurę w przypadku mediów.

„Co ciekawe, większość ataków jest przeprowadzanych wieczorem, między godziną 19 a 21. Wczesny wieczór to najbardziej krytyczna pora dla większości platform gamingowych oraz e-commerce, które wówczas cieszą się największą popularnością. Kluczowa jest wysoka przepustowość, obsługująca zarówno pożądany ruch do serwerów, jak i ten niepożądany, będący atakiem. Przy czym na jakość usług – odczuwaną przez wszystkich użytkowników – wpływa nawet najmniejszy zator” – mówi Clément Sciascia, lider zespołu pracującego nad projektem VAC, technologią opracowaną przez OVH w celu przejmowania i neutralizacji ataków DDoS.

W większości przypadków motywy ataków DDoS/DoS są finansowe: albo bezpośrednio, poprzez próby wyłudzenia, albo pośrednio, poprzez unieszkodliwienie konkurencji w celu przejęcia jej klientów. Te praktyki, mimo że najczęściej wycelowane w gaming, nie ograniczają się jedynie do gier online. Zdarzało się już, że producenci rozwiązań anty-DDoS zlecali ataki, aby w następnym kroku promować ochronę przed nimi wśród swoich ofiar.

Ewolucja ataków – intensywność i typologia

„W 2017 r. nie odnotowaliśmy do naszej sieci ataków, które przekraczałyby rekordowy 1 TB/s. Mimo to zainwestowaliśmy w zwiększenie wydajności systemu VAC oraz sieci szkieletowej backbone, aby móc im przeciwdziałać” – komentuje Clément Sciascia. „Takie ataki są nieuniknione, choćby dlatego, że istnieją umożliwiające je techniki, w szczególności botnety (sieci zainfekowanych i zdalnie sterowanych urządzeń)” – dodaje.

Na podstawie analizy danych, eksperci OVH zidentyfikowali trzy główne trendy:
• ewolucja typologii ataków – ich intensywność pod względem przepustowości nie zmieniła się tak bardzo, jak w przypadku ich intensywności pod względem liczby pakietów na sekundę;
• gwałtowny wzrost liczby ataków na warstwę aplikacji;
•wykorzystanie botnetów opartych o IoT – cyberprzestępcy będą polegać na podatnościach urządzeń Internetu rzeczy.

Patrząc na statystyki największych ataków z 2017 r. można bardzo wyraźnie powiązać każdy ze szczytów z pojawieniem się nowego botnetu składającego się z urządzeń połączonych (IoT) lub skompromitowanych routerów. Chociaż wcześniej eksperci OVH podkreślali, że większość ataków jest uruchamiana za pośrednictwem „booterów”, faktem jest, że najpotężniejsze ataki są przeprowadzane przy użyciu „botnetów”, a w szczególności tych z rodziny Mirai, wykorzystujących fragmenty kodu o tej samej nazwie, który został opublikowany 2 lata temu przez jego twórcę.

Widać także zmianę w strategii hakerów. Rozmiar największych ataków, pod względem przepustowości, pozostaje poniżej poziomu 200 Gb/s, czyli znacznie niżej w stosunku do ubiegłych lat. Atakujący prawdopodobnie zdali sobie sprawę, że dostacy, tacy jak OVH, mają zbyt dużą, nadmiarową przepustowość oraz że próby wysycenia łączy są nieskuteczne. W przypadku sieci OVH, z 13 Tb/s przepustowości globalnej tak naprawdę używane jest średnio tylko 3,5 Tb/s. W rezultacie hakerzy atakują teraz wydolność sprzętu sieciowego i systemy przeznaczone do przetwarzania dużej liczby pakietów, generując ataki o niskiej przepustowości, lecz o dużo większej liczbie pakietów. Przykładowo, zamiast wysyłać 1480-bajtowe pakiety mogące generować znaczny ruch, atakujący wysyłają bardzo małe pakiety, mniejsze niż 100 bajtów. W ciągu miesięcy liczba pakietów na sekundę znacznie wzrosła. Taka zamiana w sposobie prowadzenia ataków pokazuje, jak napastnicy doskonalą swoje techniki, aby obejść zabezpieczenia.

Ataki DDoS/DoS na konkretne aplikacje

Ataki oparte na warstwie 4 modelu OSI są zazwyczaj najbardziej imponujące pod względem przepustowości i/lub pakietów na sekundę. Niemniej jednak nie można zapominać o atakach, których wektory są w warstwie 7 (aplikacji), takich jak flood HTTP. Pierwszą ważną obserwacją jest gwałtowny wzrost liczby ataków w warstwie 7 i pojawienie się nowych wektorów, takich jak SSHFLOOD czy SMTPFLOOD. Flood HTTP jest niewątpliwie najczęściej wykorzystywanym wektorem L7, ponieważ stanowi on 66% obserwowanych ataków L7. Takie ataki nie będą miały identycznego wpływu na namierzony cel. Nie chodzi tutaj o przeciążenie infrastruktury sieciowej, ale o przeciążenie konkretnej aplikacji, np. usługi Apache, poprzez zasypanie jej zapytaniami.

Ataki na aplikacje są na ogół trudniejsze do wykrycia z uwagi na dużą ilość zmiennych: moc docelowego serwera (VPS nie będzie w stanie przetworzyć tylu zapytań, co serwer dedykowany z podwójnym procesorem), ale także konfiguracja usługi i jej optymalizacja w obliczu obciążenia. „To oznacza, że wykrywanie ataków nie może opierać się na identycznych parametrach dla wszystkich naszych klientów. Co stanowi także wyzwanie, z którym zmagają się nasze zespoły, ponieważ istnieje prawdopodobieństwo, że ataki L7 będą narastać w nadchodzących miesiącach. W odróżnieniu od ataków L4, zauważyliśmy, że ataki L7 pochodzą głównie z botnetów. Te zaś, mogą być botnetami IoT lub bardziej tradycyjnymi” – podsumowują przedstawiciele OVH.