Un attacco DDoS basato su JavaScript ha raggiunto ben 275.000 richieste al secondo

Due anni fa, in occasione della conferenza BlackHat, i ricercatori Jeremiah Grossman e Matt Johansen, di WhiteHat Security, hanno spiegato come gli hacker, in teoria, possano sfruttare una rete di pubblicità online allo scopo di distribuire JavaScript maligni, in maniera efficace e rapida.

A seconda della cifra che intende sborsare, il malintenzionato può in pratica realizzare quasi tutto, dagli attacchi di tipo “drive-by download” al search engine poisoning (letteralmente “avvelenamento dei motori di ricerca”), sino agli attacchi DDoS.

“Nel caso di un attacco DDoS, meno di 10 dollari possono essere sufficienti per mettere rapidamente fuori uso un server Apache, e mantenerlo poi a lungo in tale stato, – aveva riferito Grossman a Threatpost già nel 2013. – Non so quale potrebbe essere il costo dell’attacco in presenza di una valida protezione DDoS, ma tale cifra, probabilmente, non supererebbe i 100 dollari $. Questo significa, in pratica, che chiunque non disponga di un’efficace protezione contro gli attacchi DDoS può risultare vulnerabile nei confronti di un attacco del “valore” di appena 10 dollari, capace tuttavia di causare seri problemi al sistema informatico preso di mira”.

La strategia malevola che prevede l’utilizzo di JavaScript dannosi per infettare i computer-vittima sta lentamente passando dalla teoria alla pratica, se consideriamo i risultati emersi dalla ricerca sul Grande Cannone cinese condotta nel corso di questo anno da Citizen Lab, così come l’attacco JavaScript nei confronti di 8chan, eseguito mediante l’utilizzo di file di immagine maligni, ospitati sulla piattaforma Imgur. Lo scorso 25 settembre, CloudFlare ha descritto un attacco di vaste proporzioni realizzato contro uno dei propri clienti (nella circostanza non esplicitamente menzionato); si presuppone che tale attacco sia stato lanciato utilizzando una rete pubblicitaria mobile.

Il ricercatore Marek Majkowski ha dichiarato che l’attacco di tipo flood ha raggiunto un picco di 275.000 richieste HTTP al secondo, avvicinandosi in tal modo a quasi 1,2 miliardi di query all’ora, in un intervallo di tempo complessivo di quattro ore. La maggior parte delle richieste è risultata provenire da browser mobile ubicati in Cina.

“Non c’è modo di sapere con certezza il motivo per il quale un numero così elevato di dispositivi mobili abbia visitato la pagina sottoposta ad attacco; il vettore di diffusione più plausibile sembra tuttavia essere proprio una rete pubblicitaria, – ha affermato Majkowski. – Con ogni probabilità, gli utenti hanno effettuato il download di banner pubblicitari contenenti un JavaScript nocivo. Tali moduli di advertising sono stati probabilmente visualizzati sotto forma di iframe nell’ambito di applicazioni mobile, o browser mobile, durante l’ordinaria navigazione degli utenti in Internet”.

Majkowski ha sottolineato come tale specifica situazione non sia in alcun modo ricollegabile al tipo di attacco che prevede l’iniezione di pacchetti malevoli. È invece probabile che i browser mobile degli utenti abbiano ricevuto iframe con annunci pubblicitari richiesti da una rete di pubblicità mobile. Tali network reindirizzano le richieste verso i siti malevoli di terze parti che si sono aggiudicati le aste in tempo reale (Real Time Bidding) nell’ambito del mercato pubblicitario online. L’utente riceve così una pagina contenente un JavaScript maligno preposto all’invio di richieste flood o XHR verso l’indirizzo del sito web sottoposto ad attacco.

“Sembra che la maggiore difficoltà non sia rappresentata dalla creazione del JavaScript, quanto piuttosto dal realizzare un’efficace distribuzione dello stesso. Un efficace metodo di diffusione risulta di fondamentale importanza per poter generare considerevoli volumi; sinora, tuttavia, non ho rilevato volumi significativi generati dai browser, – ha dichiarato Majkowski. – Gli attacchi riconducibili a questa particolare tipologia segnano il manifestarsi di una nuova tendenza. Essi rappresentano, indubbiamente, un notevole pericolo nel mondo di Internet; difendersi nei confronti di tale genere di assalto informatico, per coloro che gestiscono siti web di piccole dimensioni, può davvero costituire un serio problema”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *