Francuska kompanija za cloud computing OVHcloud saopštila je da je ublažila rekordan napad distribuiranog uskraćivanja usluge (DDoS) u aprilu 2024. koji je dostigao brzinu paketa od 840 miliona paketa u sekundi (Mpps).
Ovo je nešto iznad prethodnog rekorda od 809 miliona Mpps-a koji je objavio Akamai kao ciljana velika evropska banka u junu 2020.
Za DDoS napad od 840 Mpps se kaže da je bio kombinacija TCP ACK poplave koja potiče od 5.000 izvornih IP-ova i napada DNS refleksije koji je koristio oko 15.000 DNS servera za pojačavanje saobraćaja.
“Dok je napad bio distribuiran širom svijeta, 2/3 ukupnih paketa ušlo je sa samo četiri [tačke prisutnosti], a sve su se nalazile u SAD-u, a 3 su se nalazila na zapadnoj obali”, napominje OVHcloud. “Ovo naglašava sposobnost protivnika da pošalje ogromnu brzinu paketa kroz samo nekoliko peeringa, što se može pokazati veoma problematičnim.”
Kompanija je saopštila da je primetila značajan porast DDoS napada u smislu učestalosti i intenziteta počevši od 2023. godine, dodajući da su oni koji dostižu iznad 1 terabit u sekundi (Tbps) postali redovna pojava.
“U proteklih 18 mjeseci, prešli smo sa 1+ Tbps napada koji su bili prilično rijetki, a zatim sedmični, do skoro svakodnevnih (u prosjeku u toku jedne sedmice)”, rekao je Sebastien Meriot iz OVHclouda. “Najveća brzina prijenosa koju smo primijetili u tom periodu bila je ~2,5 Tbps.”
Za razliku od tipičnih DDoS napada koji se oslanjaju na slanje poplave neželjenog saobraćaja do ciljeva s ciljem iscrpljivanja dostupnog propusnog opsega, napadi brzine paketa funkcionišu tako što preopterećuju mehanizme za obradu paketa mrežnih uređaja koji su blizu odredišta, kao što su balanseri opterećenja.
Podaci koje je prikupila kompanija pokazuju da su DDoS napadi koji koriste brzinu paketa veću od 100 Mpps bili svjedoci naglog povećanja u istom vremenskom periodu, pri čemu su mnogi od njih proizašli iz kompromitovanih MikroTik Cloud Core Router (CCR) uređaja. Čak 99.382 MikroTik rutera su dostupna preko interneta.
Ovi ruteri, osim što otkrivaju interfejs za administraciju, rade na zastarelim verzijama operativnog sistema, što ih čini podložnim poznatim bezbednosnim propustima u RouterOS-u. Sumnja se da akteri prijetnji vjerovatno naoružavaju funkciju testiranja Bandwidth operativnog sistema da bi izveli napade.
Procjenjuje se da čak i otmica 1% izloženih uređaja u DDoS botnet može teoretski dati protivnicima dovoljno mogućnosti da pokrenu napade sloja 7 koji dostižu 2,28 milijardi paketa u sekundi (Gpps).
U ovoj fazi valja napomenuti da su MikroTik ruteri iskorišteni za izgradnju moćnih botneta kao što je Mēris, pa čak i da se koriste za pokretanje operacija botnet-a-service.
„U zavisnosti od broja kompromitovanih uređaja i njihovih stvarnih mogućnosti, ovo bi mogla biti nova era za napade brzine paketa: s botnetovima koji su možda sposobni da izdaju milijarde paketa u sekundi, to bi moglo ozbiljno da izazove način na koji se anti-DDoS infrastruktura gradi i skalira, “ rekao je Meriot.
Izvor:The Hacker News
