Attacchi DDoS nel quarto trimestre del 2015

Contenuti

I principali eventi del trimestre

Tra tutti gli avvenimenti che hanno contrassegnato il quarto trimestre del 2015 nella sfera degli attacchi DDoS e degli strumenti impiegati per la loro realizzazione, abbiamo scelto quelli che, a nostro avviso, illustrano nel modo migliore le principali tendenze che si manifestano nel costante processo di evoluzione di tale specifica minaccia IT.

  1. Comparsa di nuovi vettori per la realizzazione degli assalti DDoS condotti attraverso la tecnica del “reflection attack”;
  2. Aumento del numero delle botnet composte da dispositivi IoT vulnerabili;
  3. Attacchi eseguiti a livello di applicazioni web, divenuti un vero e proprio “cavallo di battaglia” nell’ambito degli scenari previsti per gli attacchi DDoS.

Attacchi con utilizzo di applicazioni web compromesse, gestite tramite WordPress

Le risorse web gestite attraverso la nota piattaforma CMS (Content Management System; sistema di gestione dei contenuti) WordPress sembrano attualmente godere di particolare popolarità presso gli ambienti cybercriminali dediti alla conduzione di attacchi DDoS. Il fatto è che WordPress utilizza la funzione Pingback; si tratta, in sostanza, di uno specifico protocollo che permette all’autore di un post pubblicato su un sito web realizzato mediante WordPress di ricevere apposite notifiche nel momento in cui, in altri siti Internet, anch’essi amministrati attraverso tale piattaforma CMS, vengono inseriti link destinati a condurre verso il suddetto post. Quando nel sito abilitato alla funzione Pingback viene pubblicato un post contenente un link preposto a dirigere verso un’altra risorsa web, al sito verso il quale intende condurre tale collegamento ipertestuale viene inviata una speciale richiesta XML-RPC; la query sarà così ricevuta ed elaborata dalla risorsa Internet verso la quale essa è stata indirizzata. Successivamente, una volta processata la suddetta richiesta, il sito web “ricevente” potrà rivolgersi, a sua volta, al sito “sorgente”, ovvero quello che ha provveduto ad inviare la chiamata XML-RPC originaria, allo scopo di verificare la presenza del relativo contenuto.

Una simile tecnologia consente, di fatto, di poter sottoporre ad attacco un sito web (la vittima, nella circostanza): il bot invia al sito WordPress, provvisto della funzionalità Pingback sopra descritta, un’apposita richiesta pingback, “confezionata” in maniera tale da contenere l’indirizzo del sito-vittima in qualità di mittente. In seguito, il sito WordPress in questione elabora la richiesta proveniente dal bot e risponde all’indirizzo corrispondente alla vittima. Inviando richieste pingback contenenti l’indirizzo della vittima ad un elevato numero di siti web realizzati con WordPress e dotati della funzione Pingback, i malintenzionati cercano di generare un consistente carico di traffico diretto alla risorsa web-vittima. È proprio per tale motivo che i siti Internet gestiti attraverso la piattaforma CMS WordPress, ed abilitati alla funzione Pingback, si rivelano di particolare interesse per i cybercriminali.

Nel corso del quarto trimestre 2015, tuttavia, i criminali informatici non si sono limitati all’utilizzo nocivo dei siti web provvisti dell’apposito supporto per la funzione Pingback; i malintenzionati, infatti, hanno compromesso in modo massiccio le risorse web realizzate attraverso WordPress. È possibile che tale situazione sia stata determinata dalla comparsa di vulnerabilità “zero-day” in tale piattaforma CMS, oppure in uno dei suoi plugin più diffusi. Indipendentemente da questo, sono stati da noi rilevati vari casi di immissione di codice JavaScript nocivo all’interno dei siti web; tale codice, in sostanza, è risultato adibito a creare consistenti volumi di traffico indirizzato, a nome del browser dell’utente, alla risorsa Internet presa di mira. Gli attacker, nella fattispecie, si sono avvalsi di una connessione HTTPS cifrata, allo scopo di rendere particolarmente complessa l’operazione di filtraggio del traffico.

La potenza di uno di tali attacchi DDoS, individuati dagli esperti di Kaspersky Lab, è risultata pari a 400 Mbit/sec; l’attacco si è protratto per ben 10 ore. Nel corso dell’attacco DDoS qui sopra descritto, i malintenzionati hanno sfruttato applicazioni web compromesse, gestite tramite WordPress; nell’occasione, gli attacker hanno fatto ugualmente ricorso alla codifica della connessione utilizzata, con il preciso intento di complicare le abituali procedure di filtraggio del traffico.

Botnet composte da dispositivi IoT

Nel mese di ottobre 2015 gli esperti hanno individuato un enorme numero di richieste HTTP (sino a 20.000 query al secondo), le cui fonti sono poi risultate essere telecamere CCTV. I ricercatori hanno identificato circa 900 telecamere, ubicate in ogni parte del mondo, che erano entrate a far parte di una di tali botnet, e venivano di fatto utilizzate per effettuare attacchi DDoS. Gli esperti sottolineano che è lecito attendersi, per l’immediato futuro, la comparsa di nuove botnet in grado di utilizzare dispositivi IoT vulnerabili.

Tre nuovi vettori per la realizzazione di attacchi di tipo DRDoS (Distributed Reflection Denial of Service)

Gli attacchim DDoS condotti attraverso la tecnica del “reflection attack” sono, in pratica, attacchi informatici che sfruttano i difetti di configurazione eventualmente presenti nei programmi di terze parti, allo scopo di amplificare la potenza dell’attacco eseguito. Nel corso del quarto trimestre del 2015 sono stati individuati tre nuovi vettori per la realizzazione di tali attacchi. Nella circostanza, i malintenzionati inviano verso i siti web presi di mira vere e proprie montagne di traffico “spazzatura”, utilizzando – in qualità di host intermedio (reflector) – i server NS NetBIOS, i servizi RPC del controller di dominio, collegati attraverso una porta dinamica, ed ugualmente i server Sentinel per lo stoccaggio dei dati, prodotti da Western Digital.

Attacchi nei confronti dei servizi di posta elettronica

Nel trimestre oggetto del presente report sono risultati particolarmente “popolari”, presso i cybercriminali dediti alla realizzazione di attacchi DDoS, i servizi di posta elettronica.

È stata ad esempio rilevata un’intensa attività da parte del gruppo cybercriminale denominato “Armada Collectives”, che è solito utilizzare gli attacchi DDoS allo scopo di estorcere denaro alle vittime degli stessi. Presumibilmente, tale gruppo di criminali informatici si è reso responsabile dell’attacco DDoS diretto al servizio di posta elettronica cifrato ProtonMail. Per interrompere l’attacco DDoS in corso, i criminali hanno richiesto alla vittima il pagamento di un riscatto pari a 6.000 dollari USD.

Oltre al servizio di e-mail cifrate ProtonMail, qui sopra menzionato, hanno subito attacchi DDoS i servizi di posta elettronica allestiti da FastMail e Počta Rossii (Russian Post), l’azienda di servizi postali della Federazione Russa.

Statistiche relative agli attacchi DDoS condotti mediante l’utilizzo di botnet

Metodologia

Kaspersky Lab vanta un’esperienza pluriennale nella lotta contro le minacce informatiche di ogni genere, incluso gli attacchi DDoS riconducibili a varie tipologie e gradi diversi di complessità. I nostri esperti monitorano attentamente l’attività delle botnet, avvalendosi, tra l’altro, di un apposito sistema di DDoS Intelligence.

Il sistema Kaspersky DDoS Intelligence costituisce, di per se stesso, una parte della soluzione di sicurezza Kaspersky DDoS Prevention. Esso risulta preposto ad intercettare ed analizzare i comandi che giungono ai bot dai server di comando e controllo; tale sistema non si basa quindi, né sulle eventuali infezioni generate sui dispositivi degli utenti, né sull’effettiva esecuzione dei comandi impartiti dai malintenzionati.

Il presente report contiene i dati statistici ottenuti grazie all’operato del nostro sistema di DDoS Intelligence nel corso del quarto trimestre del 2015.

Nel report si considera come singolo attacco DDoS un attacco nel corso del quale l’intervallo tra i periodi di attività della botnet non supera le 24 ore effettive. Così, ad esempio, nel caso in cui lo stesso identico sito web venga attaccato attraverso la stessa identica botnet con un intervallo di almeno 24 ore, saranno considerati, a livello di statistica, due attacchi DDoS separati. Vengono ugualmente ritenuti singoli attacchi DDoS quelli lanciati nei confronti della medesima risorsa web, ma eseguiti mediante bot riconducibili a botnet diverse.

L’ubicazione geografica delle vittime degli attacchi DDoS e dei server dai quali vengono inviati i comandi dannosi viene determinata in base ai relativi indirizzi IP. In questo report, inoltre, il numero degli obiettivi unici degli attacchi DDoS viene calcolato in base al numero di indirizzi IP unici presenti nell’ambito dei dati statistici trimestrali.

È ugualmente importante sottolineare come le statistiche ottenute grazie al sistema DDoS Intelligence si riferiscano esclusivamente alle botnet individuate ed analizzate dagli esperti di Kaspersky Lab. Occorre infine tenere presente il fatto che le botnet costituiscono soltanto uno dei possibili strumenti per mezzo dei quali possono essere realizzati gli attacchi DDoS; i dati presentati nel nostro report trimestrale non comprendono quindi, indistintamente, tutti gli attacchi DDoS compiuti nel periodo oggetto della nostra analisi.

Il trimestre in cifre

  • Nel quarto trimestre del 2015 si sono registrati attacchi DDoS, condotti mediante l’utilizzo di botnet, nei confronti di “obiettivi” situati in 69 diversi Paesi.
  • Il 94,9% delle risorse web prese di mira da tali attacchi informatici è risultato ubicato sul territorio di soli 10 paesi.
  • Cina, Stati Uniti e Corea del Sud conservano la leadership sia riguardo al numero di attacchi rilevati, sia relativamente al numero di target che hanno subito attacchi DDoS.
  • Nel periodo oggetto del presente report, l’attacco DDoS più esteso in termini temporali si è protratto per ben 371 ore (15,5 giorni).
  • Così come nel trimestre precedente, SYN-DDoS, TCP-DDoS e HTTP-DDoS rappresentano gli scenari più diffusi nel quadro degli attacchi DDoS eseguiti tramite botnet.
  • Continua a crescere in maniera considerevole, presso i cybercriminali, la “popolarità” dei bot destinati all’OS Linux; nel quarto trimestre dello scorso anno, in effetti, la quota relativa agli attacchi DDoS lanciati mediante botnet basate sul sistema operativo Linux si è attestata su un valore pari al 54,8%.

Geografia degli attacchi

È stato in primo luogo osservato che, alla fine del 2015, l’estensione geografica degli attacchi DDoS è risultata ridotta a “soli” 69 Paesi. Il 94,9% degli attacchi eseguiti attraverso le botnet ha preso di mira “bersagli” situati in una ristretta cerchia di 10 paesi.

Nel quarto trimestre del 2015, rispetto agli indici percentuali registrati nel terzo trimestre dello stesso anno, è sensibilmente aumentata la quota relativa ai target – degli attacchi DDoS – ubicati in Cina (dal 34,5% al 50,3%) e in Corea (dal 17,7% al 23,2%).

Attacchi DDoS nel quarto trimestre del 2015

Ripartizione per Paesi degli obiettivi unici bersagliati dagli attacchi DDoS –
3° e 4° trimestre del 2015 a confronto

Per contro, l’indice inerente agli obiettivi unici situati sul territorio degli Stati Uniti ha fatto registrare una diminuzione di ben 8 punti percentuali; in tal modo, la Corea è salita al secondo posto della graduatoria, mentre gli USA sono andati ad occupare il terzo gradino del podio virtuale.

Non fanno più parte della TOP-10 né la Croazia (0,3%), la cui quota ha evidenziato una flessione di 2,5 punti percentuali, né la Francia, che ha visto scendere il proprio indice trimestrale dall’1,1% allo 0,7%. Le posizioni lasciate vacanti da questi due Paesi sono state così occupate, nell’ambito della TOP-10 in questione, da Hong Kong, che ha mantenuto la stessa quota rilevata riguardo al trimestre precedente, e da Taiwan, il cui indice è invece aumentato di 0,5 punti percentuali.

I dati statistici relativi al numero complessivo di attacchi DDoS individuati evidenziano come il 94,0% del volume totale degli attacchi sia stato condotto verso il territorio dei medesimi 10 Paesi presenti nel ranking relativo alla suddivisione geografica degli obiettivi unici presi di mira:

Attacchi DDoS nel quarto trimestre del 2015

Ripartizione per Paesi degli attacchi DDoS – 3° e 4° trimestre del 2015 a confronto

Notiamo innanzitutto come, nel quarto trimestre del 2015, sia rimasto invariato il podio dei Paesi leader della speciale graduatoria, anche se, all’interno del rating, Stati Uniti e Corea si sono scambiate le rispettive posizioni; la quota attribuibile alla Corea ha fatto segnare un incremento di 4,3 punti percentuali, mentre l’indice ascrivibile agli USA risulta notevolmente diminuito rispetto al trimestre precedente (- 11,5%). Il tasso di crescita più rilevante è stato tuttavia fatto registrare proprio dal Paese che detiene la leadership della TOP-10, ovvero la Cina; la quota relativa al colosso dell’Estremo Oriente è in effetti aumentata di ben 18,2 punti percentuali nell’arco di soli tre mesi.

Dinamiche relative al numero di attacchi DDoS individuati

Nel quarto trimestre del 2015, la ripartizione giornaliera del numero di attacchi DDoS individuati è risultata distribuita in maniera più o meno uniforme, ad eccezione di un picco verificatosi alla fine del mese di ottobre e di un periodo di attività decisamente più marcata che ha contrassegnato la prima metà di novembre.

Il maggior numero di attacchi DDoS — 1.442 — è stato rilevato il 2 novembre scorso. La quantità minima di attacchi – 163 – è stata invece osservata nella giornata del 1° ottobre.

q4_ddos_2015_it_3

Dinamiche relative al numero di attacchi DDoS* – 4° trimestre 2015

>*Visto che gli attacchi DDoS possono protrarsi ininterrottamente per alcuni giorni, nella relativa timeline un attacco può essere considerato varie volte (in pratica una volta per ogni singolo giorno).

Nel quarto trimestre dello scorso anno, il maggior numero di attacchi DDoS ha avuto luogo il lunedì e il martedì. Il grafico qui sotto riportato mette in risalto come la quota relativa al numero di attacchi complessivamente individuati nella giornata di lunedì sia risultata superiore di ben 5,7 punti percentuali rispetto all’analogo valore riscontrato riguardo al terzo trimestre del 2015. L’indice relativo al martedì ha invece subito una lieve flessione rispetto al trimestre precedente (- 0,3%).

q4_ddos_2015_it_4

Ripartizione degli attacchi DDoS in base ai giorni della settimana – 4° trimestre 2015

Тipologie e durata degli attacchi DDoS

Nel quarto trimestre del 2015, il 97,5% degli obiettivi presi di mira dai malintenzionati è stato attaccato da bot riconducibili ad un’unica famiglia (nel trimestre precedente l’analogo indice era risultato leggermente superiore; esso aveva in effetti raggiunto un valore pari al 99,3%). Nel corso del trimestre qui preso in esame, soltanto nel 2,4% dei casi i malfattori hanno utilizzato, per condurre i loro attacchi, bot appartenenti a due diverse famiglie (dispiegati, nella circostanza, da uno o più esecutori). Nello 0,1% dei casi, infine, i cybercriminali hanno fatto ricorso all’impiego di tre distinte famiglie di bot; si è trattato, prevalentemente, delle famiglie denominate Sotdas, Xor e BillGates.

È rimasta invariata, rispetto al trimestre precedente, la speciale TOP-5 relativa alle metodologie più frequentemente utilizzate dai malintenzionati per la conduzione degli attacchi Distributed Denial of Service; desideriamo sottolineare, tuttavia, che le quote percentuali relative ai due scenari più diffusi, ovvero SYN-DDoS (57,0%) e TCP-DDoS (21,8%), hanno fatto registrare un incremento pari, rispettivamente, al 5,4% e all’1,9%.

q4_ddos_2015_it_5

Ripartizione degli attacchi DDoS in base alle varie tipologie esistenti

Così come in precedenza, anche nel corso del quarto trimestre del 2015 la stragrande maggioranza degli attacchi DDoS si è protratta per meno di 24 ore.

q4_ddos_2015_it_6

Ripartizione degli attacchi DDoS in base alla loro durata in ore

Il record stabilito nel trimestre precedente, a livello di durata massima di un singolo attacco, è stato di nuovo ampiamente battuto. Ricordiamo, a tal proposito, che, mentre nel terzo trimestre dello scorso anno era stato rilevato un attacco della durata complessiva di 320 ore (13,3 giorni), nel quarto trimestre del 2015 è stata registrata la conduzione di un attacco DDoS che si è protratto per ben 371 ore (15,5 giorni).

Server di comando e controllo; tipologie di botnet

Nel trimestre oggetto del presente report, la leadership della graduatoria relativa al numero di server di comando e controllo delle botnet dislocati sul territorio dei vari Paesi, è andata nuovamente ad appannaggio della Corea, peraltro con un margine percentuale davvero ampio; la quota ad essa ascrivibile ha fatto segnare, per di più, un ulteriore significativo incremento (+ 2,4%). È invece leggermente diminuito l’indice relativo agli Stati Uniti (sceso dal 12,4% all’11,5%), mentre la quota riguardante la Cina ha evidenziato un aumento quantificabile in 1,4 punti percentuali.

La composizione del podio dei paesi leader della graduatoria è quindi rimasta invariata rispetto al trimestre precedente, anche in relazione alle posizioni occupate in classifica dagli stessi. Osserviamo, inoltre, come i Paesi collocatisi alla quarta e alla quinta posizione del rating si siano scambiati le rispettive posizioni: la quota riconducibile alla Russia è salita dal 4,6% al 5,5%; da parte sua, l’indice relativo alla Gran Bretagna è sensibilmente diminuito, passando dal 4,8% al 2,6%.

q4_ddos_2015_it_7

Ripartizione per Paesi dei server di comando e controllo delle botnet –
Situazione relativa al 4° trimestre del 2015

Nel quarto trimestre del 2015, per ciò che riguarda la correlazione esistente tra il livello di attività dimostrato dai bot per l’OS Windows e quello fatto registrare dai bot destinati al sistema operativo Linux, si è registrato un ulteriore, sensibile incremento della quota relativa alle botnet Linux; tale indice è in effetti salito dal 45,6% al 54,8%.

q4_ddos_2015_it_8

Correlazione tra gli attacchi lanciati attraverso botnet basate sull’OS Windows e gli attacchi eseguiti ricorrendo a botnet operanti con Linux

Conclusioni

Gli eventi che hanno caratterizzato il trimestre qui preso in esame hanno ampiamente dimostrato come i cybercriminali dediti all’organizzazione e alla conduzione di attacchi DDoS utilizzino, ormai, non solo le botnet di stampo “classico”, formate da schiere di workstation e personal computer, ma si avvalgano, allo stesso modo, di tutte le risorse vulnerabili che, sul momento, si rivelano disponibili. Tali risorse sono costituite, più precisamente, dalle applicazioni web, dai server e dai dispositivi IoT che presentano vulnerabilità. La specifica situazione che si è venuta a creare, unitamente all’impiego di nuovi vettori per la realizzazione degli attacchi DDoS condotti attraverso la tecnica del “reflection attack”, lascia presupporre che sia del tutto lecito attendersi, nell’immediato futuro, un ulteriore incremento della potenza dispiegata negli attacchi DDoS, così come la comparsa sulla scena del malware di botnet composte da nuove tipologie di dispositivi vulnerabili.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *