თანამედროვე DDOS შეტევები – 1.5 ტერაბიტი წამში

ვფიქრობთ ჩვენს მკითხველს არ სჭირდება იმის ახსნა თუ რას წარმოადგენს DDOS შეტევა, ამიტომ პირდაპირ ფაქტებზე გადავალთ.

ddos-attackჯერ კიდევ 2013 წელს 120 გბ/წმ მოცულობის DDOS შეტევამ ლამის ინტერნეტი გათიშა. გავიდა 3 წელი და შეტევის ამ ხერხმა ბევრი ცვლილება განიცადა. მთავარი ცვლილება კი ისაა, რომ ჰაკერებმა წელს შეტევების განხორციელებისთვის კომპიუტერული მონების ლაშქრის მაგივრად, ინტერნეტში ჩართული სხვადასხვა მოწყობილობების (IoT – Internet of Things) გამოყენება დაიწყეს. ეს მოწყობილობები მოიცავს ყველაფერს, რაც ინტერნეტთან არის დაკავშირებული და არ წარმოადგენს პერსონალურ კომპიუტერს. ჰაკერების განსაკუთრებული ყურადღება უსაფრთხოების კამერებმა მიიპყრო.

სპეციალისტები წლების წინ აფრთხილებდნენ მწარმოებლებს შესაძლო საფრთხეების შესახებ, რომლებიც გამოწვეული იქნებოდა ინტერნეტში ჩართული მოწყობილობების სუსტი დაცვის სისტემების მიზეზით და როგორც ჩანს, ეს დრო დადგა. იმ შეტევებისთვის რომელსაც ქვევით განვიხილავთ, ჰაკერები დიდხანს და გულდასმით ემზადებოდნენ. მათ საკუთარი ბოტნეტის ქვეშ მოაქციეს ასობით ათასი ვებ კამერა და თავიდან შემოწმების მიზნით „მცირე“, თუმცა ამ დროისთვის რეკორდული მოცულობის შეტევებით დაიწყეს. სპეციალისტების აზრით შეტევების სიმძლავრე შესაძლოა კიდევ გაიზარდოს.

ყველაფერი დაიწყო 15 სექტემბერს, როდესაც ჰაკერებმა უსაფრთხოების ცნობილი სპეციალისტის ბრაიან კრებსის ვებსაიტს – crebsonsecurity.com-ს შეუტიეს 363 გბ/წმ მოცულობის ტრაფიკით. ეს ამ დროისთვის DDOS შეტევის რეკორდული მაჩვენებელი იყო, თუმცა Akamai-ს დაცვის ქვეშ მყოფმა საიტმა შეტევას გაუძლო. Akamai-ს უფროსი სპეციალისტის მარტინ მაკკეის თქმით, ამ მოცულობის შეტევა მიმდინარე წლის შუა თვეებშიც დაფიქსირდა, მაგრამ იმ დროს გამოყენებული იყო DDOS შეტევის „გაძლიერების“ (amplification) ტექნიკა, რომელთა მოგერიებაც შედარებით მარტივი იყო. ამჯერად კი შეტევები განხორციელდა რეალური აიპი მისამართებიდან.

amplification

თავდაპირველად ივარაუდეს, რომ შეტევის სახედ გამოყენებული იყო DNS არეკვლის მეთოდი (DNS reflection attack), რაც მცდარი აღმოჩნდა. ანალიზებმა აჩვენა, რომ შეტევის უდიდესი ნაწილი მოდიოდა GRE (generic routing encapsulation) მონაცემთა პაკეტებზე. GRE პროტოკოლი ორ ქსელს შორის პირდაპირი კავშირის დამყარების საშუალებას იძლევა, ანუ კავშირის ორივე მხარეს შეუძლია მონაცემები ერთმანეთს პირდაპირ გაუზიაროს, რაც ჩვეულებრივ საჯარო ქსელში შეუძლებელია. მაკკეის თქმით, მსგავსი შეტევა ბოლო რამდენიმე თვეშიც იყო დაფიქსირებული, თუმცა ამ ზომით პირველად იჩინა თავი.

როგორც ჩანს, ვიღაცას აშკარად ძალიან დიდი მოცულობის ბოტნეტი ჰქონდა და ბოტები მთელი მსოფლიოს მასშტაბით იყვნენ გაბნეული. სწორედ ამ დროს გაჩნდა აზრი და შემდეგ დადასტურდა კიდევაც, რომ ბოტების სახით გამოყენებული იყო IoT მოწყობილობები, უფრო კონკრეტულად კი – როუტერები, IP კამერები და DVR-ები.

უსაფრთხოების კომპანია Flashpoint-ის ცნობით, ვირუსი რომელიც IoT-ზე ბაზირებულ ბოტნეტს მართავს ცნობილია შემდეგი სახელებით – “Lizkebab,” “BASHLITE,” “Torlus” და “gafgyt.”. არსებობს აზრი, რომ ვირუსის კოდმა გაჟონა და ახლა მის წარმოებასა და კოდის ცვლილებას მრავალი ჰაკერი თავად ახდენს, ეს კი ვირუსის მრავალ სახეობას წარმოშობს.

ბოტნეტების გავრცელება ორნაირად ხდება.  პირველი სცენარისას, ვირუსი ასკანირებს ქსელს და ეძებს სისუსტის მქონე მოწყობილობებს, შემდეგ კი username-ისა და password-ის მოპოვებას ცდილობს ე.წ. bruteforce მეთოდით. მეორე ვარიანტია ფართოდ გავრცელებული სკანერების გამოყენება ახალი ბოტების მოსაძიებლად, შემდეგ კი უკვე დაუფლებული სერვერებიდან ახორციელებენ იგივეს და ასე დაუსრულებლად..

აქედან გამოდიოდა დასკვნა, რომ გაცილებით ძლიერ შეტევებს უნდა ველოდეთ….

უფრო ძლიერმა შეტევამ არც დააყოვნა. 20 სექტემბერს, საღამოს, კიდევ ერთხელ განხორციელდა შეტევა კრებსის ვებსაიტზე, ოღონდ ამჯერად 665გბ/წმ მოცულობისა… ამჯერად სერვერმა ვეღარ გაუძლო და საიტი გაითიშა. უფრო მეტიც, მოსალოდნელი საფრთხეებიდან გამომდინარე Akamai-მ საიტის სხვაგან გადატანა მოითხოვა – ყველას ხომ არ შეუძლია 665გბ/წმ შეტევას გაუძლოს. მითუმეტეს, რომ სპეციალისტები შეტევის კიდევ უფრო გაძლიერებას ვარაუდობდნენ. სწორედ ამიტომ აღვნიშნეთ თავიდან, რომ 15 სექტემბრის შეტევა სატესტო ხასიათისა იყო. კრებსის ვებსაიტის დაცვა თავის თავზე გუგლმა აიღო.

21 სექტემბერს გავრცელდა ინფორმაცია ჯერჯერობით ყველაზე ძლიერი DDOS შეტევის შესახებ, რომელიც თითქმის 1 ტბ/წმ (უფრო ზუსტად 990 გბ/წმ) მოცულობისა იყო.

attack-on-ovhამ დროისთვის რეკორდული შეტევა საფრანგეთში ბაზირებული ინტერნეტ პროვაიდერის OVH-ს წინააღმდეგ განხორციელდა. ამის შესახებ ინფორმაცია კომპანიის დამფუძნებელმა ოქტავ კლაბამ საკუთარ ტვიტერის გვერდზე გაავრცელა. როგორც სურათიდან ხედავთ, ძლიერი შეტევები რამდენიმე დღის განმავლობაში მიმდინარეობდა და პიკს 20 სექტემბრის ღამეს მიაღწია, როდესაც მიღებულმა ტრაფიკის ოდენობამ 990გბ/წმ აჩვენა.

შეტევის მეთოდი ისეთივე იყო როგორც akamai-ს შემთხვევაში. ამჯერად დადგინდა გამოყენებული ბოტების ოდენობაც. შეტევისთვის გამოყენებულ იქნა 152,000 CCTV და IP კამერა. თითოეულ მათგანის მიერ წარმოებული ტრაფიკი იყო წამში 1-30 მეგაბიტის შუალედში. შეტევისას არ ყოფილა გამოყენებული შეტევის გაძლიერების მეთოდები, მაშასადამე ყველა აიპი მისამართი იყო რეალური და თითოეულის შეტევის ზომა მცირე, რაც თავდაცვას ძალიან ართულებს.

სპეციალისტები მსჯელობისა და ანალიზის შემდეგ ფიქრობენ, რომ მთავარი შეტევა ჯერ კიდევ წინაა, რადგან მარტივი გათვლებით ამ ბოტნეტს შეუძლია 1.5 ტერაბიტი წამში მოცულობის შეტევის განხორციელება. თუმცა მოცულობა ერთადერთი თავის ტკივილი არ არის ამ შემთხვევაში. ბოტნეტის სამართავი ვირუსის კოდი საიდუმლოს აღარ წარმოადგენს, რაც იმას ნიშნავს, რომ მსგავსი ტიპის შეტევებს სხვა ჰაკერებიც მიმართავენ უახლოეს პერიოდში და 500 გიგაბიტი წამში შეტევა, სავარაუდოდ, ჩვეულებრივ მოვლენად იქცევა.

sosბოლოს გვინდა აღვნიშნოთ, რომ ამ შეტევების ერთადერთი საფრთხე ინტერნეტ პროვაიდერებისთვის პრობლემების შექმნა და ინტერნეტის გათიშვა მომხმარებლებისთვის სულაც არ არის. მსგავსი ტიპის შეტევები შეიძლება განხორციელდეს სატელეფონო კომპანიების, საპატრულო პოლიციისა და სასწრაფო დახმარების სატელეფონო ხაზის წინააღმდეგაც. ეს შეტევა ცნობილია როგორც TdoS. ამის შესახებ მსჯელობა აქტიურად მიმდინარეობს დასავლეთში და სპეციალისტების მტკიცებით 50,000 ბოტს შეუძლია ჩრდილოეთ კაროლინის სასწრაფო დახმარების ნომრის 911-ის პარალიზება, ხოლო 200,000 ბოტი უკვე იმდენად დიდი ოდენობაა, რომ მთლიანად ამერიკაში მოახდენს სასწრაფო დახმარების ბლოკირებას.

როგორც ჩანს, ყველაზე საინტერესო მოვლენები ჯერ კიდევ წინაა.

გამოყენებული წყაროები:

https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

http://www.eweek.com/security/ddos-attacks-heading-toward-1-terabit-record.html

http://www.cio.com/article/3124386/security/armies-of-hacked-iot-devices-launch-unprecedented-ddos-attacks.html

http://www.cio.com/article/3124551/security/security-blogger-krebs-says-iot-ddos-attack-was-payback-for-a-blog.html

http://www.computerworld.com/article/3118703/security/researchers-warn-that-hackers-can-ddos-911-emergency-phone-service.html

https://lifars.com/2016/09/cctv-botnet-led-cyberattack-brings-record-1-5tbps-ddos-attack/

http://www.ooyuz.com/geturl?aid=13369601

http://hothardware.com/news/latest-iot-ddos-attack-dwarfs-krebs-takedown-at-nearly-1-terabyte-per-second