Kaspersky Lab

 

Analyse

24.02.2012

Dénis de service distribués au deuxième semestre 2011

Maria Garneva - Youri Namestnikov

Toutes les statistiques fournies dans ce rapport ont été obtenues à l'aide du système de surveillance des réseaux de zombies de Kaspersky Lab et du système Kaspersky DDoS Prevention.

Sommaire

Semestre en chiffres. 2

Evénements du semestre. 2

Finances : attaques DDoS contre les bourses. 2

DDoS et protestations politiques. 2

DDoS et petites entreprises. 3

Crime et châtiment. 4

Règlements de compte entre cybercriminels. 4

Nouvelles techniques d'attaques DoS/DDoS. 5

Google+. 5

THC-SSL-DOS. 5

Apache Killer. 6

Tables de cache vulnérables. 7

RefRef secret. 8

Statistiques. 9

Répartition des sources d'attaques DDoS par pays. 9

Répartition des sites attaqués par catégories d'activité. 11

Types d'attaques DDoS. 12

Activité des réseaux de zombies DDoS au fil du temps. 13

Conclusion. 14

 

Semestre en chiffres

·         Au cours du deuxième semestre 2011, la puissance des attaques repoussées par Kaspersky DDoS Prevention a augmenté de 20 % par rapport au premier semestre pour atteindre 600 Moctets/s ou 1 100 000 paquets par seconde (UDP-flood à l'aide de petits paquets de 64 octets).

·         La puissance moyenne des attaques repoussées par Kaspersky DDoS Prevention au deuxième semestre 2011 a augmenté de 57 % pour atteindre 110 Moctets/s.

·         L'attaque DDoS la plus longue enregistrée au deuxième trimestre a duré 80 jours 19 heures 13 minutes et 5 secondes et visait un site touristique.

·         La durée moyenne des attaques DDoS a été de 9 heures et 29 minutes.

·         Au cours du deuxième semestre, la majorité des attaques DDoS (384) visait le site d'un des portails de cybercriminels.

·         Ces attaques DDoS ont été organisées au départ d'ordinateurs répartis dans 201 pays.

Evénements du semestre

Finances : attaques DDoS contre les bourses

Jouer en bourse n'est pas une chose facile : il faut être capable d'analyser la situation, de prévoir le développement des événements sur le marché dans l'ensemble et dans les sociétés dont les actions vous intéressent et de réagir à temps aux nouvelles importantes. Tout ceci est possible uniquement si les courtiers peuvent recevoir les informations critiques à temps. Si un des intervenants du marché obtient des informations importantes avant les autres, il peut gagner beaucoup d'argent. Monter une escroquerie dans le cadre de laquelle la majorité des intervenants du marché obtiendra les informations en retard est possible à l'aide d'attaques DDoS. C'est ce que nous avons pu observer à la fin de l'été 2011.

Le 10 août, un des sites de la bourse de Hong Kong a été victime d'une attaque DDoS. Le choix des pirates était intéressant : ils n'avaient pas ciblé le site principal de la bourse, mais bien celui où les informations importantes relatives aux grands intervenants du marché sont publiées. Suite à cette attaque, la bourse décida l'après-midi de suspendre le cours des actions de sept sociétés dont HSBC, Cathay Pacific, China Power International et des produits dérivés correspondant. Le site est resté en ligne un jour supplémentaire et pendant toute cette période, le cours des positions dépendantes a été suspendu également. Il est pratiquement impossible de calculer les pertes et les revenus possibles de cette situation, mais il est clair que quelqu'un a tenté d'en profiter.

Naturellement, cette attaque a été réalisée à l'aide d'un réseau de zombies et dans ces conditions, retrouvez le commanditaire n'est pas une chose aisée. Ceci étant dit, au vu des sommes en jeu à la bourse et étant donné le risque pour la réputation de la bourse de Hong Kong (HKEX), la cinquième bourse au monde, les autorités judiciaires de Hong Kong ont pris l'incident au sérieux. Deux semaines plus tard, un individu soupçonné d'avoir organisé l'attaque fut arrêté. Cet homme de 29 ans était un homme d'affaires qui jouait en bourse. Il risque désormais une peine de cinq ans d'emprisonnement pour avoir organisé l'attaque DDoS, une peine suffisamment longue pour avoir le temps de penser à des stratégies financières plus légales.

DDoS et protestations politiques

Le célèbre groupe Anonymous s'est distingué au cours de ce semestre. Après l'intervention des forces de l'ordre contre les participants au mouvement Occupy Wall Street à force de gaz lacrymogène, de balles en caoutchouc et autres armes et suite aux arrestations, une nouvelle action baptisée Occupy Oakland a été organisée. Suite à l'attaque DDoS organisée dans le cadre de cette action, le site d'administration de la police d'Oakland fut rendu inaccessible pendant un certain temps et des informations confidentielles de cette organisation furent publiées sur Internet.

Quelque temps plus tard, Anonymous a attaqué des sites gouvernementaux de la République du Salvador où, selon les membres du groupe, quelques événements liés à la violation des droits de l'homme étaient survenus.

Suite à l'abordage par les forces spéciales israéliennes d'un navire chargé d'aide humanitaire au large de Gaza, les membres d'Anonymous ont diffusé sur Youtube une vidéo dans laquelle ils annonçaient d'autres attaques. Deux jours plus tard, les sites de l'armée d'Israël, du Mossad et du ShinBet étaient inaccessibles. Toutefois, le gouvernement israélien n'a pas confirmé la version d'Anonymous et a expliqué que les sites avaient été mis hors ligne suite à des erreurs sur les serveurs.

Ceci étant dit, les membres de ce groupe connu de tout le monde n'ont pas revendiqué toutes les attaques à caractère politique qui ont fait parler d'elles. Au mois de septembre, des individus malintentionnés inconnus ont organisé une attaque DDoS contre le site de l'ambassade de Russie à Londres. L'attaque fut organisée la veille de l'arrivée du Premier ministre britannique à Moscou, ce qui démontrait clairement le désaccord du ou des auteurs avec ce geste politique.

DDoS et petites entreprises

Au cours du dernier semestre, nous avons enregistré deux grandes vagues d'attaques DDoS contre les sites de sociétés touristiques. La première fut liée aux vacances d'été lorsque les utilisateurs avides de soleil et de mer turquoise recherchaient activement des offres de vacances à la mer. (Au cours de cette période, les individus malintentionnés ont également commandité des attaques DDoS contre des sites de location et de vente d'appartements dans des pays chauds).

La deuxième vague s'est déroulée pendant les vacances de Noël et de Nouvel An. Cette fois, les attaques visaient principalement des sites d'agences proposant des excursions dans la "féérie du Nouvel An" ou à des fêtes populaires de Noël et non pas des vacances dans des pays chauds.

Aucun grand voyagiste ne figurait parmi les victimes des attaques DDoS. Toutes les attaques visaient les sites d'agences de voyage. Il faut signaler que le nombre d'agences de voyage est bien supérieur au nombre de voyagistes et par conséquent, la concurrence entre les agences est plus rude.

Par rapport aux saisons touristiques basses, le nombre d'attaques contre les sites de sociétés de voyage est multiplié par cinq en haute saison. Nous pouvons affirmer sans crainte que les attaques DDoS enregistrées en été et en hiver avaient été commanditées : il s'agit en fait d'une lutte que mènent les agences de voyage entre elles dans le cyberespace. Il faut noter que les périodes d'attaques DDoS correspondent aux périodes de diffusions massives de courrier indésirable faisant la publicité d'agences de voyage. Toute ceci montre que la concurrence dans le secteur touristique est telle que certains acteurs sont prêts à utiliser n'importe quelle méthode pour séduire et attirer des clients.

Parmi les faits intéressants, citons la hausse sensible au deuxième semestre des sites permettant de réserver un taxi ou de remplir une cartouche d'encre. Ces services sont également promus via le courrier indésirable. il est évident que les sociétés qui commanditent ces diffusions ont accès à un responsable de bot et peuvent tout à fait être les commanditaires d'attaques DDoS contre les sites de la concurrence.

Crime et châtiment

Le mois d'octobre aura été marqué par les suites des attaques DDoS contre le système de paiement ASSIST : Pavel Vrublevsky, le propriétaire du centre de traitement ChronoPay, soupçonné d'avoir organisé ces attaques, a reconnu qu'il en était l'auteur. Pour rappel, cette attaque avait mis hors service la billetterie électronique d'Aeroflot, la plus grande compagnie aérienne russe.

Il est probable que le propriétaire de ChronoPay voulait jeter le discrédit sur la concurrence et attirer un client important, à savoir Aeroflot, ce qui lui aurait permis d'augmenter sa part du marché, qui est déjà de 40 %, des services de traitement de paiements. L'attaque a débuté le 16 juillet 2010 et ce n'est que sept jours plus tard qu'Aeroflot a pu reprendre la vente de billets en ligne. La résolution des problèmes a duré trop longtemps et ASSIST a perdu un gros client : Aeroflot a signé un contrat avec Alpha-Bank.

A l'heure actuelle, Vrublevsky est accusé d'avoir violé les articles 272 et 273 du Code pénal de la Fédération de Russie et risque jusqu'à sept ans de prison.

Certains membres du groupe Anonymous ayant participé à des attaques DDoS n'ont pas été épargnés par les autorités judiciaires. Des hacktivistes ont été arrêtés en Turquie, en Italie, en Espagne, en Suisse, en Angleterre et aux Etats-Unis. Les pirates les plus faciles à suivre furent ceux qui ont réalisé des attaques à l'aide de l'outil open source LOIC (Low Orbit Ion Canon). Cet outil crée une charge de test sur un serveur, autrement dit l'application en elle-même n'a pas été développée à des fins malveillantes. Ce qui signifie qu'elle ne contient aucune fonction de dissimulation de l'origine de l'attaque. Par conséquent, pour procéder à l'identification des auteurs, les autorités judiciaires n'ont eu qu'à consulter les journaux et contacter les fournisseurs d'accès. Dans les autres cas, la capture des hacktivistes est plus compliquée. Toutefois, il serait naïf de penser que les auteurs des attaques DDoS contre les sites d'institutions publiques vont s'ent tire comme ça. Pour rappel, la moyenne d'âge des individus interpellés est de 20 ans.

La lutte contre les réseaux de zombies n'est possible que s'il existe une étroite collaboration entre les autorités judiciaires, les éditeurs de logiciels antivirus et les éditeurs de logiciels.

Règlements de compte entre cybercriminels

Les attaques DDoS sont un outil de concurrence déloyale non seulement dans le monde des biens et des services réels, mais également dans l'économie souterraine. Si l'on sait que toute l'activité cybercriminelle se déroule sur Internet, les attaques DDoS sont un excellent moyen pour exercer une pression sur la concurrence.

Au cours du deuxième semestre, le maximum d'attaques (384) a été enregistré contre une ressource vendant de faux documents. Généralement, les cybercriminels spécialisés dans le vol de cartes de crédit sont ceux qui utilisent le plus souvent les attaques DDoS : les bots attaquent les forums traitant du sujet ainsi que les sites de vente des données personnelles des titulaires des cartes. En deuxième position dans le classement des victimes, nous retrouvons les sites proposant des services d'hébergement à l'épreuve des balles et des services VPN pour les individus malintentionnés. Ceci témoigne de la concurrence sérieuse qui existe entre les cybercriminels et de la simplicité d'accès aux réseaux de zombies pour attaques DDoS.

Nouvelles techniques d'attaques DoS/DDoS

Google+

A la fin du mois d'août, la chercheuse italienne Simone «ROOT_ATI» Quatrini de la société AIR Sicurezza Informatica a présenté dans le blog IHTeam Security (http://www.ihteam.net/advisory/make-requests-through-google-servers-ddos) deux URL spéciales du service Google+ qui permettent aux individus malintentionnés d'organiser des attaques DDoS contre n'importe quel site au départ des serveurs de Google :

https://plus.google.com/_/sharebox/linkpreview/
et
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?

La première URL intervient dans la fonction d'aperçu des pages et la deuxième est un gadget pour l'utilisation des hotlinks avec la possibilité de mettre les fichiers en cache sur les serveurs Google. Ces deux URL peuvent transmettre en tant que paramètres un lien vers n'importe quel fichier du site attaqué et dans ce cas, ce sont les serveurs de Google qui seront à l'origine des requêtes adressées au fichier qui sont ensuite transmises à l'utilisateur. Autrement dit, Google fonctionne en tant que proxy. L'envoi d'une multitude de requêtes identiques de manière automatisée (par exemple, à l'aide d'un script) en exploitant la bande passante des canaux Google équivalent à HTTP est une attaque DDoS contre le site sélectionné.

L'auteur de la découverte a signalé que cette méthode préservait l'anonymat de la personne à l'origine de l'attaque. Toutefois dans le cas de la deuxième URL, le site reçoit, dans l'un des champs de l'en-tête HTTP, l'adresse IP de l'individu à l'origine de l'attaque et il est aisé de le bloquer du côté du serveur attaquant.

Après avoir reçu la description de ces deux vulnérabilités, l'équipe chargée de la sécurité sur Google a fermé la première page /_/sharebox/linkpreview/, mais n'a pas modifié la deuxième gadgets/proxy?. Selon toute vraisemblance, les collaborateurs de Google n'ont pas cru que cette page était un gros problème pour les attaques DDoS car toute attaque de ce genre réalisée via cette page pouvait être aisément déjouée.

Mais en général, est-il envisageable que de tels services publics soient un jour largement utilisés en guise d'intermédiaire dans l'organisation d'attaques DDoS sérieuses car ces vulnérabilités seront rapidement supprimées par les développeurs du service dès qu'elles auront été mises en évidence.

THC-SSL-DOS

Ces derniers temps, les experts sont de plus en plus souvent intéressés par les possibilités d'organiser des attaques DDoS efficaces avec un minimum d'efforts pour l'auteur, à savoir sans utiliser d'importants réseaux de zombies. Cela signifie la transition depuis les attaques DDoS traditionnelles impliquant un gros volume de trafic vers des attaques qui utilisent beaucoup de ressources sur le serveur attaqué. Le type d'attaque décrit ci-dessous s'inscrit parfaitement dans ce modèle.

Au mois d'octobre, un groupe d'experts allemands appartenant au Hacker's Choice ont lancé une nouvelle application (preuve de concept) pour réaliser des attaques DoS contre un serveur Web en utilisant une particularité du protocole SSL. L'outil baptisé THC-SSL-DOS permet à un ordinateur de mettre un serveur de configuration standard hors service pour autant que ce dernier prennent en charge la renégociation SSL. La renégociation permet au serveur Internet de créer une clé secrète en plus de la connexion SSL déjà ouverte. Cette option est rarement utilisée, mais elle est activée par défaut sur la majorité des serveurs. L'établissement d'une connexion sécurisée et la renégociation SSL requièrent bien plus de ressources du côté serveur que du côté client. C'est précisément cette asymétrie qui est exploitée dans cette attaque : si le client envoie une multitude de requêtes de renégociation SSL, cela épuise les ressources du serveur. Le pire scénario d'attaque est celui qui implique plusieurs clients à l'origine de l'attaque (SSL-DDoS).

Il faut signaler que tous les serveurs ne sont pas touchés par cette attaque : certains ne prennent pas en charge la renégociation SSL initialisée par le client, par exemple, un serveur Internet IIS. Pour se protéger, les serveurs peuvent également utiliser un accélérateur SSL (http://en.wikipedia.org/wiki/SSL_acceleration), qui libère le serveur Internet de la charge de calcul excédentaire.

Certains éditeurs de logiciels ne voient pas de problèmes graves dans la méthode d'attaque décrite et s'il n'est pas possible de désactiver complètement la renégociation SSL, ils conseillent de définir des règles spéciales pour interrompre la connexion avec le client qui exécute une renégociation plus de fois que la valeur définie par unité de temps.

Les auteurs des applications affirment que même si le serveur ne prend pas en charge la renégociation SSL, il peut être attaqué à l'aide d'une version modifiée de leur application. Dans ce cas, plusieurs connexions TCP sont ouvertes pour chaque nouvelle poignée de mains SSL, mais il faudrait peut-être plus de bots pour améliorer l'efficacité de l'attaque.

En diffusant cet outil, les auteurs veulent attirer l'attention sur la « sécurité douteuse de SSL ». Ils ont publié sur le blog (http://thehackerschoice.wordpress.com/) : « Le secteur doit intervenir et supprimer le problème afin que les citoyens soient à nouveau en sécurité. SSL utilise une méthode ancienne de protection des données personnelles qui est complexe, inutile et inadaptée au XXIe siècle ».

Apache Killer

Une vulnérabilité critique (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192) a été détectée en août dans le serveur Internet Apache HTTPD. Cette vulnérabilité permet aux individus malintentionnés de monopoliser les ressources du serveur suite au traitement incorrect du champ de l'en-tête HTTP Range: Bytes. Ce champ permet au client de charger un fichier depuis un serveur en plusieurs parties sur la base de la plage d'octets définies. Lors du traitement d'un nombre élevé de plages, Apache utilise beaucoup de mémoire pour la compression gzip. Au final, cela peut déboucher sur un déni de service si la limite de la taille octroyé au processus de la mémoire n'est pas défini que dans la configuration. Les versions vulnérables sont 2.0.x, y compris 2.0.64, et 2.2.x, dont 2.2.19.

De même, Apache a signalé[MG1]  que cette attaque DoS avait été largement utilisée avec un script perl diffusé sur Internet. En attendant le correctif, les experts ont recommandé aux administrateurs système d'activer dans la configuration du serveur des paramètres spéciaux qui permettent de détecter toute requête d'une multitude de plages en ignorant le champ Range ou en rejetant toute demande (http://httpd.apache.org/security/CVE-2011-3192.txt).

Pour l'instant, la vulnérabilité a été supprimée des versions 2.2.20 et 2.2.21, mais aucune mise à jour de sécurité n'a encore été diffusée pour la version 2.0.65.

Tables de cache vulnérables

En 2003, des chercheurs de l'université de Rice ont publié un article intitulé « Denial of Service via Algorithmic Complexity Attacks » (http://www.cs.rice.edu/~scrosby/hash/CrosbyWallach_UsenixSec2003.pdf) dans lequel il décrivaient l'idée d'une attaque DDoS contre des applications utilisant des tables de cache. L'idée est la suivante : si l'application n'utilise pas la fonction de cache aléatoire pour réaliser ses tables de cache, l'individu à l'origine de l'attaque peut créer de nombreuses clés qui créent une collision et et en « gaver » l'application. Cela entraîne une augmentation de la complexité de l'algorithme d'association des paires « clé-valeur », ce qui requiert une plus grande utilisation du processeur. Bien que ce problème soit connu depuis longtemps, personne n'avait jamais développé un code de preuve de concept pour démontrer les côtés pratiques de l'attaque. Il aura fallu attendre pour cela la fin de l'année 2011.

Dans le cadre de la Chaos Congress Conference, deux chercheurs allemands ont présenté un rapport (http://events.ccc.de/congress/2011/Fahrplan/attachments/2007_28C3_Effective_DoS_on_web_application_platforms.pdf) qui attirait une fois de plus l'attention sur le vieux problème des tables de cache et des attaques DoS. Le rapport décrivait une attaque à laquelle étaient vulnérables plusieurs langages de programmation Web dont PHP, ASP.NET, Java, Python et Ruby. Toutes ces plateformes utilisent des algorithmes similaires de mise en cache qui permettent de ramasser une collision. Pour mettre le serveur hors d'état, il faut envoyer une requête POST à l'application Internet développée à l'aide d'une des technologies citées ci-dessus, avec des valeurs spéciales pour les paramètres de collision multiple prévus, par exemple, pour un formulaire en ligne quelconque. Les applications Internet conservent en général les paramètres transmis dans des tables de cache. Les chercheurs ont testé leur preuve de concept sur des plateformes vulnérables et ont présenté dans le rapport des valeurs théoriques et pratiques de traitement de la requête POST « malveillante » pour diverses plateformes. Dans l'ensemble, on peut affirmer qu'en fonction de la plateforme utilisée, de la configuration du serveur et de la taille des données dans la requête POST, un requête peut occuper le processeur de quelques minutes à plusieurs heures. Et s'il envoie plusieurs requêtes similaires, l'individu à l'origine de l'attaque peut contrôler un serveur à plusieurs cœurs, voire une grappe de serveurs.

Les chercheurs allemands ont même remarqué qu'il était possible de générer une requête POST pour le serveur attaqué au vol dans un code HTML ou JavaScript sur un site tiers quelconque, à l'instar des attaques organisées à l'aide de scripts XSS. Par conséquent, de nombreux utilisateurs participeront sans le savoir à une attaque DDoS.

Il est intéressant de constater que les chercheurs ont utilisé sur une des dias de leur présentation l'image du masque d'Anonymous pour indiquer clairement que le groupe avait déjà participé à une multitude d'attaques DDoS et qu'il n'hésiterait pas à adopter de nouvelles technologies.

Le rapport officiel de la conférence avait été précédé en octobre par une note sur la problématique de tous les éditeurs "vulnérables" de langages de programmation (http://www.ocert.org/advisories/ocert-2011-003.html).
La société Microsoft a vite réagi à la menace présentée (http://www.securelist.com/en/blog/208193313/ASP_NET_Holiday_Patches) et a diffusé un correctif pour ASP.net qui limite le nombre de paramètres transmis par requête POST. La motivation de Microsoft pour diffuser une correctif pour cette vulnérabilité fut la crainte, fondée, de voir apparaître un code d'exploitation pour cette vulnérabilité. La diffusion du correctif a été réalisée à temps car au début de l'année 2012, un certain utilisateur sous le pseudo HybrisDisaster, a diffusé une sélection de clés avec collision pour ASP.NET.

Les développeurs de Ruby ont diffusé de nouvelles versions de CRuby (http://www.ruby-lang.org/en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm-cve-2011-4815/) et JRuby (http://jruby.org/2011/12/27/jruby-1-6-5-1.html) avec des fonctions de cache aléatoires. Pour PHP, seule la nouvelle variable max_input_vars (http://svn.php.net/viewvc?view=revision&revision=321040) a été introduite. Elle limite le nombre de paramètres dans une requête POST.

Il faut signaler que Perl 5.8.1 depuis 2003 et CRuby 1.9 depuis 2008 ne sont plus vulnérables à cette attaque car ils utilisent déjà des fonctions de cache aléatoires.

RefRef secret

A la fin du mois de juillet, le groupe Anonymous a présenté une nouvelle création sous le nom de RefRef qui, selon les déclarations du groupe, pouvait être utilisée dans des attaques DDoS et qui allait remplacer l'outil LOIC utilisé jusqu'à présent.

Pour rappel, LOIC avait été utilisé par le groupe dans de nombreuses attaques contre des sites gouvernementaux, des sites opposés à Wikileaks et des sites d'autres organisations. Comme nous l'avons déjà dit, plus de 30 auteurs de ces attaques qui avaient utilisé LOIC ont été arrêtés : ils ne s'étaient pas soucier de masquer leur adresse IP et leur identification fut aisée.

L'info sur le nouvel outil d'organisation d'attaques DDoS s'est vite propagée sur les sites d'informations et les blogs. Ce programme a même été cité par le ministère de la Sécurité intérieure des Etats-Unis dans son bulletin de sécurité consacré aux menaces et attaques potentielles d'Anonymous (http://info.publicintelligence.net/NCCIC-AnonOps.pdf).

Malgré la large diffusion d'informations sur l'existence de ce nouvel outil pour attaque DDoS, personne ne disposait des détails. Des messages énigmatiques des "développeurs" ont été diffusé. Ces messages indiquaient qu'il s'agissait peut-être d'un programme Java ou JavaScript, qu'il utilisait peut-être une vulnérabilité dans SQL sur la majorité des sites et qu'il pouvait peut-être charger ses propres fichiers js sur le serveur. La mise hors service d'un site ne pouvait avoir lieu qu'en épuisant les ressources (CPU, RAM ou les deux) d'un serveur.

Le groupe Anonymous déclara également que RefRef avait déjà été testé sur les sites PasteBin et WikiLeaks. Le premier a confirmé l'attaque et a même diffusé sur twitter une demande pour ne plus être attaqué :


 [MG1] http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C20110824161640.122D387DD@minotaur.apache.org%3E

Personne ne comprend par contre pourquoi Anonymous a attaqué WikiLeaks : à ses débuts, Anonymous soutenait ce site et son auteur. Le représentant du groupe @AnonCMD a revendiqué cette attaque. Il s'est présenté comme le développeur de RefRef et a déclaré que l'attaque contre WikiLeaks était le résultat d'un différend sur une question d'argent entre lui et Assange.

Suite à l'annonce du nouvel outil d'organisation d'attaques DDoS, les événements se sont accélérés. Le site refref.org, qui serait lié aux développeurs de l'outil du même nom (le site a déjà été fermé) et plusieurs faux scripts sur le nom de RefRef ont fait leur apparition. Parmi ceux-ci, le plus répandu fut un script Perl qui peut être utilisé uniquement en présence d'une vulnérabilité SQL sur le site. Et pour que cette attaque réussisse, l'auteur doit trouver lui-même le site vulnérable : le script se contente d'exécuter une instruction du type select benchmark sur le serveur. Ainsi, ce script ne peut être utilisé dans le cadre d'une attaque contre un grand nombre de sites. Toutefois, IBM Internet Security Systems a réagi à ce script en tant que nouvelle menace pour de nombreux sites et à diffuser sur son site des avis de sécurité et une signature IPs pour ses propres produits (http://www.iss.net/threats/434.html).

Les représentants d'Anonymous n'ont jamais renié les faux et ont promis de présenter le vrai RefRef le 17 septembre. Toutefois, cette présentation n'a jamais eu lieu. Il y eu ensuite toute une série de révélations sur les mensonges du groupe et de @AnonCMD qui s'était vanté de son produit auprès de ses collègues, ce qui avait marqué le début de sa "marche triomphale". Plus tard, il a reconnu qu'il n'y avait jamais eu de RefRef.

La conclusion de cette histoire est simple : certains membres du groupe Anonymous tentent d'attirer l'attention sur eux et sur le groupe et les média apportent de l'eau à leur moulin en diffusant des rumeurs et des données inexactes.

Statistiques

Répartition des sources d'attaques DDoS par pays

En six mois, nos systèmes ont enregistré des attaques organisées depuis des ordinateurs répartis dans 201 pays. Ceci étant dit, 23 pays sont la source de 90 % du trafic DDoS.

Répartition des sources d'attaques DDoS par pays Deuxième semestre 2011

La répartition des sources d'attaque DDoS a changé. A la fin du premier semestre, ce classement était mené par les Etats-Unis (11 %), l'Indonésie (5 %) et la Pologne (5 %). A l'issue du deuxième semestre, nous voyons apparaître de nouveaux leaders : Russie (16 %), Ukraine (12 %), Thaïlande (7 %) et Malaise (6 %). La part des zombies de 19 autres pays oscille entre 2 et 4 %.

Nous avons observé l'émergence de nouveaux réseaux de zombies en Russie et en Ukraine créés à l'aide de programmes proposés sur des forums clandestins. Il est intéressant de constater que ces réseaux de zombies ont commencé à attaquer des cibles situées sur le territoire des pays où ils se trouvent eux-mêmes. Avant cela, nous n'observions que des attaques depuis des réseaux de zombies dont les ordinateurs se trouvaient dans des pays autres que celui des serveurs attaqués.

Une telle modification remarquable dans la répartition du trafic et l'entrée de la Russie et de l'Ukraine dans le classement sont également liées à l'adoption de certaines mesures de protection contre les attaques DDoS. Une des mesures adoptées pour déjouer ces attaques est le filtrage du trafic sur la base des pays sources. Le principe de fonctionnement est très simple : quand une attaque DDoS est détectée, un système qui rejette tous les paquets à l'exception de ceux en provenance de certains pays, est activé. En général, cela signifie que seuls les utilisateurs des pays où vivent la majorité du public cible du site sont autorisés à y accéder. C'est la raison pour laquelle les individus malintentionnés qui ne veulent pas que leur trafic soit filtré doivent créer des réseaux de zombies dans certains pays et les utiliser dans le cadre d'attaques contre des sites dans ces mêmes pays.

Toutefois, les réseaux de zombies qui fonctionnent de manière traditionnelle (attaque menée depuis des ressources en dehors du pays où se trouve le serveur cible) sont toujours présents. La Thaïlande et la Malaisie sont des cas frappants de pays comptant une multitude d'ordinateurs sans protection, mais les commandes d'attaques contre des sites situés dans ces pays sont encore faibles. C'est pourquoi cette région est un bon territoire pour les cybercriminels qui veulent développer des réseaux de zombies.

La composition du groupe de pays représentant de 2 à 4 % des sources a également changé par rapport au premier semestre. Ce groupe ne comprend que trois pays avec un niveau élevé de pénétration de l'ordinateur et de sécurité informatique : Irlande (2 %), Etats-Unis (3 %) et Pologne (4 %). Les autres générateurs de trafic parasite sont les ordinateurs infectés dans les pays en développement où le nombre d'ordinateurs par habitant est faible et où la protection des données est loin d'être développée (Mexique (4 %), Inde (4 %), Pakistan (4 %), Bélarus (3 %), Brésil (3 %), etc.)

Répartition des sites attaqués par catégories d'activité

Le leader en terme de victimes au deuxième semestre demeure toujours le commerce en ligne (boutiques en ligne, enchères, sites de petites annonces, etc.) : ces sites ont été victimes de 25 % de l'ensemble des attaques enregistrées.

Répartition des sites attaqués par catégories d'activité. Deuxième semestre 2011

A l'approche du Nouvel an, le nombre d'attaques DDoS menées contre des sites proposant divers articles a augmenté. Les individus malintentionnés ont le plus souvent attaqué des sites vendant des bibelots pour la maison, de l'électroménager, des appareils électroniques, des habits de mode pour enfants et adultes ainsi que d'autres accessoires et bijoux de luxe.

En deuxième position, on retrouve les sites de commerce électronique. L'enrichissement via des escroqueries dans le monde des finances n'est pas une nouveauté et les attaques DDoS peuvent être très utiles dans ce cas. Pour rappel, les pirates se sont intéressés, entre autres, à des sites qui permettent de passer des commandes pour des entreprises publiques.

Les sites de jeux ont été victimes de 15 % des attaques DDoS, soit 5 % de moins qu'au deuxième trimestre 2011. Les sites offrant des services d'hébergement pour les serveurs de jeux ont été les premiers visés. Ils sont suivis par des attaques contre les serveurs (souvent pirates) de divers jeux en ligne. La majorité des attaques organisées par les individus malintentionnés visait les serveurs du jeu Lineage2 et contre les serveurs de divers clones du jeu Minecraft devenu très populaire ces derniers mois.

Les attaques contre les médias ont représenté 2 %. Parmi les cibles de ces attaques, citons les sites de chaînes de télévision et de journaux de divers pays ex-soviétiques.

La part d'attaques contre les sites du gouvernement augmente progressivement et elle a atteint 2 % au deuxième semestre. Dans la majorité des cas, les pirates ont attaqué les sites des gouvernements de certaines régions ou les sites officiels de certaines villes. Les motifs des attaques DDoS contre les sites gouvernementaux sont divers, mais dans la majorité des cas, il s'agit de protestation contre des actions, ou le manque d'action, des autorités.

Types d'attaques DDoS

Sur l'ensemble du deuxième semestre, notre système de surveillance des réseaux de zombies a intercepté plus de 32 000 instructions pour lancer des attaques contre divers sites.

Types HTTP-Flood. Deuxième semestre 2011

Le type d'attaque le plus populaire demeure HTTP-Flood (80 %), quand le site attaqué reçoit une multitude de requête HTTP. Les individus malintentionnés utilisent différentes technologies pour réaliser ce type d'attaque. Dans 55 % des attaques de type HTTP-Flood, les bots tentent d'accéder à une page quelconque d'un site et en deuxième position (22 %), nous retrouvons les attaques contre divers formulaires d'autorisation. La troisième place (12 %) revient aux attaques organisées à l'aide de tentatives multiples de téléchargement d'un fichier depuis un site. Et une seule fois sur dix, nous sommes en présence d'attaques plus complexes dans le cadre desquelles les individus malintentionnés tentent de masquer les actions des bots sous le comportement de vrais utilisateurs.

Les attaques de types UDP-Flood occupent la deuxième position avec un indice de 10 %. Les bots qui exécutent ces attaques exploitent la force brute : ils génèrent un nombre important de petits paquets parasites (par exemple, des paquets de 64 octets chacun).

En troisième et quatrième position du classement, nous retrouvons les attaques de type SYN Flood (8 %) et ICMP Flood (2 %).

Activité des réseaux de zombies DDoS au fil du temps

Il est intéressant de voir l'heure de la journée à laquelle les bots de DDoS attaquent le plus souvent leur cible. L'heure est l'heure locale, à savoir l'heure du pays où se trouve le site attaqué.

Répartition des attaques DDoS par heure Deuxième semestre 2011

D'après le diagramme, les bots de DDoS se mettent au travail entre 9 et 10h00 du matin, lorsque les visiteurs des sites arrivent au travail et commencent à utiliser Internet dans le cadre de leur occupation. Le pic d'activité est enregistré à 16h00. La journée de travail des bots n'est pas réglementée et ils travaillent jusque tard ans la nuit. Ce n'est que vers 4h00 du matin que la majorité des réseaux de zombies arrête sa journée de travail.

Conclusion

Le pronostic que nous avions avancé dans le rapport sur le deuxième trimestre (http://www.securelist.com/ru/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_2011_goda) qui évoquait une augmentation du nombre d'attaques DDoS en guise de protestation face aux décisions de gouvernements s'est vérifié L'activité du groupe Anonymous n'a pas faibli malgré l'arrestation de certains de ces membres. De plus, des attaques DDoS de protestation sont également organisées par des groupes qui, à la différence d'Anonymous, restent dans l'ombre. Par exemple, en Russie, lors des élections parlementaires, nous avons enregistré des attaques DDoS contre les sites de partis, de projets politiques et de divers journaux. Les commanditaires de ces attaques ne se sont jamais identifiés.

Le nombre d'ordinateurs faisant partie de réseaux de zombies pour les attaques DDoS augmente progressivement, ce qui a un impact sur la puissance moyenne des attaques qui a atteint 57 % en six mois. Toutefois, cette augmentation de la puissance a un effet secondaire : ces réseaux de zombies attirent l'attention des projets de luttes contre les attaques DDoS et des autorités judiciaires, ce qui peut rendre de tels réseaux nettement moins intéressants pour les individus malintentionnés. Pour cette raison, nous n'allons voir pratiquement aucun super réseau de zombies pour attaques DDoS en 2012. Notre radar va principalement capter des réseaux de taille moyenne dont la puissance est suffisante pour mettre hors service un site moyen. Le nombre de ce genre de réseau de zombies va augmenter. Plus tard, vu la croissance du nombre de sociétés spécialisées dans la protection contre les attaques DDoS, les pirates vont devoir augmenter progressivement la puissance des attaques en utilisant simultanément plusieurs réseaux de zombies contre une seule cible.

Vu la demande d'attaques DDoS, les propriétaires de ces activités illégales vont améliorer les technologies utilisées. L'architecture des réseaux de zombies utilisés pour organiser des attaques DDoS va devenir plus complexe et les réseaux P2P vont commencer à prendre la place des réseaux de zombies centralisés. De plus, en 2012, les individus malintentionnés vont chercher de nouvelles méthodes pour organiser des attaques DDoS sans avoir recours à des réseaux de zombis, ce que confirment les études menées actuellement.

Photo


  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

  • PNG

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Kaspersky Lab on the Web

Virus Analyst Blogs