מעבדת קספרסקי: מתקפת ה-DDoS הארוכה ביותר ברבעון השלישי ערכה 184 שעות

בחודשים האחרונים נחשף ההיקף הגלובלי העצום של פשעי סייבר כשירות (Cybercrime as a Service), כשיותר ויותר עדויות – כמו מתקפת הענק נגד ספקית שירותי ה-DNS האמריקאית Dyn שהפילה אתרים כמו אמזון, ספוטיפיי, פייפאל ונטפליקס או הפעילות העסקית של שירות ה-DDoS מבוסס הבוטנט vDOS, יוזמה של שני צעירים ישראלים – מוכיחות כי מתקפות ה-DDoS הפכו לאחד השירותים הפופולריים ביותר המסוגלים לשגר התקפות שלא נראו עד כה במונחים של נפח ומורכבות טכנולוגית.

גם היורופול, בדוח הערכת איומי הפשע המאורגן 2016 מה-28 בספטמבר, המתבסס על עדויות מוסדות אכיפת החוק במדינות החברות באיחוד האירופי, מדרג את ה- DDoS במקום הראשון כאיום מפתח ומדגיש כי "כל ישות הפועלת באינטרנט, תהא אשר תהא מטרתה או עסקיה, חייבת להפנים כי היא או משאביה עלולים להיות קורבן של פושעי סייבר".

על רקע זה מפרסמת היום מעבדת קספרסקי דוח המסכם ומנתח את התקפות ה-DDoS מבוססות בוטנט ברבעון השלישי של 2016. מהדוח, המתבסס על נתונים המתקבלים ממודיעין ה-DDoS של קספרסקי, עולה גידול בפעילות מצד שרתי פיקוד ושליטה הממוקמים במערב אירופה, כמו גם מספר המשאבים שהותקפו באזור. בנוסף, נמצא במגמת גידול גם מספר מתקפות ה-DDoS המתוחכמות אשר מבוססות על תעבורת נתונים מוצפנת.

במהלך הרבעון השלישי, משאבים ב-67 מדיניות הותקפו על ידי DDoS מבוסס בוטנט. מספר ההתקפות על משאבים הממוקמים ביפן, ארה"ב ורוסיה גדל באופן משמעותי, בעוד שבמספר הקורבנות בסין וקוריאה נרשמה ירידה. במהלך הרבעון נרשמה גם כניסה ראשונה של מספר מדינות ממערב אירופה לרשימת 10 המדינות המותקפות ביותר – איטליה, צרפת וגרמניה. סטטיסטיקות אלה תואמות לגידול במספר שרתי הפיקוד והשליטה הפועלים במערב אירופה, במיוחד בבריטניה, צרפת והולנד.

על אף הירידה במספר ההתקפות שנרשמו בסין, עדיין רוב המשאבים שהותקפו הם סינים – מספר ההתקפות הגדול ביותר (19) נערך נגד מנוע חיפוש פופולארי בסין, וספק תקשורת סיני היה תחת המתקפה הארוכה ביותר של הרבעון (184 שעות). היום הפעיל ביותר של התקפות DDoS במהלך ארבעת הרבעונים האחרונים היה ה-3 באוגוסט. באותו יום נערכו 1,746 מתקפות בוטנט, כשרבות מהן מכוונות נגד שרתים של ספק שירותים בודד הממוקם בארה"ב.

ברבעון השלישי של 2016 המשיך מספר מתקפות ה- SYN-DDoS לצמוח, כשהן מהוות 81% מכל ההתקפות המתועדות, בעוד הנתח של התקפות TCP-DDoS ו- ICMP-DDoS המשיך לרדת. אחוז ההתקפות מצד בוטים מבוססי לינוקס המשיך לצמוח, כשהוא מגיע ל- 79% – שיא בשנה החולפת. ניתן להסביר זאת באמצעות הפופולאריות הגוברת של מכשירי IoT מבוססי לינוקס המשמשים להתקפות DDoS, והמגמה כנראה תמשיך בעקבות הדליפה של Mirai, שבו נעשה גם שימוש במתקפה נגד Dyn.

מומחי מעבדת קספרסקי זיהו גם צמיחה במספר ההתקפות "החכמות" המשתמשות בתעבורת נתונים מוצפנת. מספר קטן יחסית של שאילתות נשלחות אל אזורים "עמוסים" באתר (כגון טפסי חיפוש) דרך חיבור מוצפן. באמצעות הכנסתן לתעבורה מוצפנת והודות להיקפן הנמוך, קשה מאוד לפתרונות הגנה ייעודיים לסנן אותן החוצה.

"הפופולאריות של שיטה זו צומחת מכיוון שהתקפות רגילות הופכות למורכבות יותר עבור עברייני הסייבר: מספר השרתים הפרוצים נמצא בירידה ופתרונות אבטחה למדו לזהות ולסנן החוצה את רוב ההתקפות האלה. שנית, קיים מעבר קבוע באינטרנט מ- HTTP קלאסי לאינטראקציה מוצפנת בין משתמשים ומשאבי רשת. הדבר מצביע על כך שהתקפות מבוססות הצפנה רק יתרחבו, והמשמעות היא שמפתחים חייבים להתחיל לבחון את ההגנות שלהם נגד DDoS, והבעלים של משאבי רשת צריכים לנקוט בגישה אחראית כאשר הם בוחרים פתרון אבטחה", אמר קיריל אילגנייב, ראש הגנת DDoS, מעבדת קספרסקי.

לדוח המלא – כאן

דילוג לתוכן