Kaspersky Lab ir publicējis pārskatu, kas veltīts robottīklu atbalstītiem izkliedētā pakalpojumu atteikuma (DDoS) uzbrukumiem 2018. gada pirmajā ceturksnī. Uzņēmuma eksperti ir novērojuši gan vecu, gan jaunu robottīklu aktivitātes pieaugumu, pastiprināšanas DDoS uzbrukumu popularitātes palielināšanos un ilgu (vairākdienu) DDoS uzbrukumu atgriešanos.
2018. gada pirmajā ceturksnī izkliedētā pakalpojumu atteikuma robottīkli ir uzbrukuši tiešsaistes resursiem 79 valstīs. Valstis, kur noticis visvairāk uzbrukumu, atkal bija Ķīna, ASV un Dienvidkoreja. Šīs valstis joprojām ir priekšgalā uzbrucējiem pieejamo serveru skaita ziņā un tādējādi arī tajos mitināto vietņu un pakalpojumu skaita ziņā. Savukārt Honkonga un Japāna 10 visvairāk uzbrukumiem pakļauto valstu sarakstā ir aizstājusi Nīderlandi un Vjetnamu.
Pārmaiņas to 10 valstu sarakstā, kur tiek mitināts visvairāk komandvadības serveru, ir lielākas: Honkonga, Vācija un Apvienotā Karaliste ir nomainījusi Kanādu, Turciju, Lietuvu un Dāniju. Domājams, ka tas ir saistīts ar Darkai (Mirai klona) aktīvo komandvadības serveru un AESDDoS robotu skaita straujo pieaugumu un veco robottīklu Xor un Yoyo darbības atsākšanu. Lai gan vairums šo robottīklu izmanto Linux, salīdzinājumā ar pagājušā gada beigām pirmajā ceturksnī ir mazliet samazinājies Linux balstīto robottīklu īpatsvars, kas veidoja 66 % salīdzinājumā ar 71 % 2017. gadā.
Turklāt šķiet, ka pēc īsa pārtraukuma ir atgriezušies ilgie uzbrukumi: ceturkšņa ilgākais DDoS uzbrukums turpinājās 297 stundas (vairāk nekā 12 dienu). Iepriekšējā reize, kad esam novērojuši ilgāku uzbrukumu, bija 2015. gada beigās.
Pārskata perioda beigas iezīmēja nepieredzēti spēcīgas Memcached plūsmas - dažkārt tās pārsniedza 1 TB, tomēr eksperti uzskata, ka to popularitāte nebūs ilga, jo Memcached plūsmas uzbrukumi ietekmē ne tikai plānotos upurus, bet arī uzņēmumus, kas neviļus ir iesaistīti uzbrukumu izpildē.
Piemēram, februārī ar Kaspersky DDoS Protection tehniskā atbalsta dienestu sazinājās uzņēmums, kas sūdzējās, ka tā komunikācijas kanāli ir pārslogoti, tāpēc viņiem ir radušās aizdomas, ka viņi ir pakļauti DDoS uzbrukumam. Izrādījās, ka noziedznieki izmantoja vienu no uzņēmuma serveriem ar nedrošo Memcached pakalpojumu, lai uzbruktu citam pakalpojumam, un ģenerēja tik milzīgus izejošās datplūsmas apjomus, ka sabojāja paša uzņēmuma tīmekļa resursus. Lūk, kāpēc šiem uzbrukumiem ir lemts īss mūžs: Memcached uzbrukumu nevilšie līdzdalībnieki drīz pamana lielāko slodzi un ātri aizlāpa ievainojamības, lai izvairītos no zaudējumiem, tādējādi samazinot uzbrucējiem pieejamo serveru skaitu.
Kopumā pirmajā ceturksnī pieņēmās spēkā pastiprināšanas uzbrukumu popularitāte, kas iepriekš kļuva mazāka. Piemēram, mēs reģistrējām, neraugoties uz efektivitāti, reta veida uzbrukumu, kurā par pastiprinātāju tika izmantots direktoriju vieglpiekļuves protokola (LDAP) pakalpojums. Līdztekus Memcached, NTP un DNS šim pakalpojumam ir viens no lielākajiem pastiprināšanas rādītājiem, tomēr, atšķirībā no Memcached, LDAP nevēlamā datplūsma gandrīz nespēj pilnīgi noslogot izejošo kanālu, tāpēc neaizsargātā servera īpašniekam ir grūtāk pamanīt un novērst situāciju. Lai gan pieejamo LDAP serveru skaits ir samērā neliels, iespējams, ka šāda veida uzbrukumi tuvākajos mēnešos kļūs sevišķi populāri tumšajā tīklā.
«Ievainojamību izmantošana ir iemīļots rīks kibernoziedzniekiem, kas nodarbojas ar DDoS robottīklu veidošanu, taču šī gada pirmie mēneši parādīja, ka cieš ne vien DDoS uzbrukumu upuri, bet arī uzņēmumi ar infrastruktūru, kas ietver neaizsargātus objektus. Pirmā ceturkšņa notikumi apstiprina vienkāršu patiesību: platformai, ko jebkurš uzņēmums izmanto, lai īstenotu daudzslāņu drošību tiešsaistē, ir jāietver regulāra ievainojamību lāpīšana un pastāvīga aizsardzība pret DDoS uzbrukumiem,» komentēja Kaspersky DDoS Protection grupas projektu vadītājs Aleksejs Kiseļovs.
