Les attaques DDoS ont doublé au 1er trimestre, le SSDP principal vecteur d'attaque
Au 1er trimestre 2015, 25 attaques DDoS (*) ont dépassé 100 Gbit/s au niveau mondial. La majorité d'entre elles emploient une technique d'amplification par réflexion reposant sur les protocoles NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol) et des serveurs DNS.
Akamai Technologies a publié son rapport 2015 sur la sécurité Internet. Il passe en revue les attaques les plus fréquentes, observe les intentions des attaquants, les menaces émergentes et les ressources qu'offre la sécurité dans le cloud. Une centaine de pages, d'où émerge un type de menace plus flagrant que les autres, les DDoS. Il a plus que doublé au 1er trimestre 2015 par rapport au même trimestre de l'année précédente.
Akamai relève que des attaques de huit mégas ont été lancées contre ses clients, la plus grande mesurant près de 170 Gbps. "L'augmentation significative du trafic des attaques suggère que les attaquants ont mis au point de nouvelles façons de maximiser leur impact", souligne la société. "Comme de nouveaux outils encore plus puissants deviennent disponibles, des adversaires non qualifiés sont à leur tour capables d'agressions beaucoup plus dommageables. En outre, avec l'adoption d'IPv6, les attaques peuvent opérer sur une surface plus grande et devenir potentiellement plus efficaces.
L'industrie du jeu a été la plus frappée
La nature des menaces a changé avec des attaques DDoS utilisant en moyenne moins de bande passante, mais de manière plus durable, sur 24 heures ou plus. L'industrie du jeu a été la plus frappée par les attaques. Cinq de ces méga attaques répertoriées dans la catégorie Internet & Telecom ont effectivement ciblé des sites de jeux hébergés sur le réseau du client. Toutes, sauf une, étaient de type SYN Flood (émission d'un nombre important de demandes de synchronisation TCP incomplètes). Le secteur du jeu a été le plus ciblé depuis le 2ème trimestre 2014, l'industrie du logiciel et de la technologie suit de près, on trouve ensuite l'Internet et les télécommunications. Akamai a noté que "les attaques sur les infrastructures ont augmenté de 125% sur un an, ce qui représente 91% du total des attaques DDoS".
Autre point essentiel dans l'étude, les vecteurs d'attaque DDoS ont changé, c'est le Simple Discovery Protocol (SSDP) qui arrive en tête, dans le secteur des infrastructures, devançant les SYN, qui avaient la vedette au T4 2014. D'autant plus fâcheux qu'il ne manque pas de terminaux avec le protocole SSDP activé au domicile ou au travail, sans oublier les routeurs, les serveurs médias, les webcams, les téléviseurs intelligents et les imprimantes. Non seulement cette attaque est facile à exécuter pour les acteurs malveillants, mais le nombre de réflecteurs vulnérables ne semble pas diminuer. L'amplification par réflexion permettant aux cyber-attaquants d'augmenter le volume du trafic généré mais d'en masquer les sources.
Le rôle des sites booter / stresser
Au chapitre des attaques DDoS repérées au 1er trimestre, Akamai note l'arrivée d'un nouveau groupe d'attaquants, des sites booter / stresser (ceux qui offrent des services DDoS à la demande). Les booters évoluent plutôt dans le monde du jeu en ligne, que les attaques DDoS visent particulièrement, en voulant évincer un joueur du site. Les acteurs malveillants ont rendu ces attaques facilement disponibles à la vente.
L'année dernière, le trafic d'attaque booter / stresser était aux environs de 10-20 Gbps. Mais maintenant, ces sites d'attaque sont plus dangereux et capable de lancer des attaques de plus de 100 Gbps. Avec de nouvelles méthodes d'attaque comme SSDP, les dommages potentiels devraient continuer à augmenter au fil du temps.
7 attaques sur les applications
Concernant les applications, Akamai a concentré son analyse sur sept attaques communes : l'injection SQL (SQLi), la faille locale (local file inclusion, LFI), l'inclusion de fichiers à distance (remote file inclusion, RFI), l'injection PHP (PHPi), l'injection de commandes (command injection, CMDI), l'injection Java (java injection), un langage open source pour Java (abusing object Graph navigation language) et le téléchargement de fichiers malveillants (malicious file upload, MFU). Ensemble, ils représentaient 178.850.000 d'attaques sur des applications web.
Parmi les attaques applicatives, Akamai a observé que 163 620 000 d'entre elles ont été envoyées en clair sur http. Cela représente 91,48% des attaques sur des applications. Il y avait 15.230.000 attaques via HTTPS. LFI étant un vecteur d'attaque supérieur à 71,54%, suivi par SQLI à 24,20%. Quant aux pays d'origine de l'attaquant, avec 23,45%, la Chine arrive encore en tête pour les attaques DDoS, l'Allemagne était responsable de 17,39% d'entre elles et les États-Unis de 12,18%. "Ensemble, la Chine, l'Allemagne et les États-Unis représentaient plus de 50% des attaquer IPs sur ce trimestre" a écrit Akamai.
En illustration : le schéma des attaques DDoS
(*) Notre groupe organise, le 17 juin prochain, un dîner privé sur ce thème :
http://emails.itnewsinfo.com/Conferences/201506-Cust-Level3/Mail.html
