DDoS

  • Мащабна DDoS атака спря новите регистрации на нашумялата китайска AI платформа DeepSeek

    Нашумeлият в последните дни китайски AI разработчик DeepSeek спря регистрациите в чат платформата си DeepSeek-V3. Причината – продължаваща „мащабна“ кибератака, насочена към нейните услуги.

    DeepSeek е сравнително нова платформа за изкуствен интелект. Тя обаче бързо привлече вниманието заради разработването и пускането на усъвършенстван модел със значително по-ниски разходи. Тази новина разтърси из основи фондовия пазар в САЩ.

    Точно когато приложението DeepSeek AI Assistant изпревари ChatGPT като най-изтегляното в Apple App Store, компанията е принудена да изключи новите регистрации. Твърди се, че това се дължи на DDoS атака срещу нейния API и самия AI чатбот.

    Това не е изненада за професионалната общност. В понеделник доставчикът на киберсигурност KELA обяви, че е успял да пробие модела и да произведе злонамерени резултати. Пробивът включва широк спектър от сценарии – разработване на ransomware софтуер, изработване на чувствително съдържание и подробни инструкции за създаване на токсини и взривни устройства.

  • 5,6 Tbps: DDoS атака срещу интернет доставчик постави нов световен рекорд

    DDoS атака, достигнала максимална скорост от 5,6 Tbps (терабита в секунда), счупи световния рекорд. Тя е извършена от ботнет Mirai с 13 000 компрометирани устройства и е била насочена срещу доставчик на интернет услуги в Източна Азия.

    Атаката е продължила 80 секунди, но не е оказала влияние върху целта. Нейното откриване и смекчаване е било напълно автоматично.

    Доскорошният рекорд за най-обемна DDoS атака беше 3,8 Tbps от октомври 2024, продължила 65 секунди.

    Според Cloudflare хиперволуметричните DDoS атаки зачестяват – тенденция, станала особено забележима през Q3/2024. През Q4 атаките, надхвърлящи 1 Tbps, са скочили с 1885% на тримесечна база.

    Тези над 100 млн. pps (пакета в секунда) също са се увеличили със 175%, като забележителните 16% от тях са надхвърлили и 1 млрд. pps.

    Компанията твърди, че най-атакуваните цели през последното тримесечие на 2024 са в Китай, Филипините и Тайван, следвани от Хонконг и Германия. Повечето от тях са били в областта на телекомуникациите, доставчиците на услуги, интернет сектора и маркетинга и рекламата.

    На практика обаче нито един бизнес не е застрахован – независимо от сферата и региона, в които оперира. За да се защитите:

    • използвайте специализираните услуги за защита от DDoS атаки, предлагани от доставчиците на интернет услуги и хостинг компаниите;
    • инсталирайте защитни стени и мрежови филтри, които могат да идентифицират и блокират подозрителен трафик;
    • постоянно наблюдавайте мрежовия трафик за необичайни активности;
    • използвайте CDN (Content Delivery Network) мрежи, които разпределят трафика към различни сървъри;
    • поддържайте актуализирани всички софтуерни компоненти, за да няма уязвимости, които могат да бъдат използвани при DDoS атаки;
    • инсталирайте AI решения за анализ на трафика в реално време и автоматично блокиране на злонамерени заявки.
  • Нов Mirai ботнет превзема рутери и интелигентни домашни устройства чрез Zero day експлойти

    Сравнително нов ботнет, базиран на Mirai, става все по-усъвършенстван и вече използва Zero day експлойти за пробиви в сигурността на индустриални рутери и интелигентни домашни устройства.

    Според Chainxin X Lab тази еволюция е започнала през ноември 2024.

    Ботнетът е открит през февруари миналата година и в момента наброява 15 000 ежедневно активни бот възела. Те са разположени предимно в Китай, САЩ, Русия, Турция и Иран. Основната му цел е извършването на DDoS атаки, като ежедневно се насочва към стотици субекти. Неговата активност достига своя пик през октомври и ноември 2024 г.

    Зловредният софтуер използва комбинация от публични и частни експлойти за повече от 20 уязвимости. По-конкретно той е насочен към:

    • рутери ASUS, Huawei, Neterbit и LB-Linк;
    • индустриални рутери Four-Faith;
    • камери PZT;
    • видеодекодери Kguard и Lilin;
    • устройства за интелигентен дом Vimar;
    • различни 5G/LTE устройства.

    Според X Lab DDoS атаките на ботнета са кратки като времетраене, с продължителност между 10 и 30 секунди, но с висока интензивност. Техният трафик надхвърля 100 Gbps, което може да доведе до смущения дори в стабилни инфраструктури.

    За да защитите своите устройства:

    • винаги инсталирайте най-новите актуализации от производителя;
    • деактивирайте отдалечения достъп, ако не е необходим;
    • задължително променяйте идентификационните данни по подразбиране на администраторския акаунт.
  • DDoS атака изкара от строя за часове Microsoft 365

    Мащабна DDoS атака изкара от строя за повече от девет часа Microsoft 365.

    Прекъсването засегна множество услуги и функции, включително Exchange Online, Microsoft Teams и SharePoint Online. OneDrive, Purview, Copilot и Outlook също не бяха достъпни в рамките на срива.

    Това не е първият случай на глобално прекъсване на платформите на технологичния гигант през 2024. През юли това се случи с Microsoft 365 и Azure, а засегнати бяха административния център, както и услугите Intune, Entra, Power BI и Power Platform.

     

  • 3,8 Tbps: Нова DDoS атака счупи досегашния рекорд

    3,8 терабайта в секунда (Tbps). Това е новият рекорд за DDoS атака. Досега първото място държеше атака срещу клиент на Microsoft Azure в Азия – 3,47 Tbps.

    Кампанията, в рамките на която е поставен новият рекорд, е била насочена към критични сектори като финансови услуги, телекомуникации и интернет доставчици. Тя е продължила един месец, включвайки над 100 хиперволуметрични атаки. Атаката, счупила досегашното най-високо постижение, е продължила 65 секунди, преди да бъде смекчена.

    Заразените устройства, формиращи ботнета, са включвали маршрутизатори Asus, системи MikroTik, видеорегистратори и уеб сървъри. Те са били локализирани в множество държави, включително Русия, САЩ, Виетнам, Бразилия и Испания, като са използвали протокола User Datagram Protocol (UDP) на фиксирани портове, който позволява бързо предаване на данни без установяване на официални връзки.

    Волуметричните DDoS атаки като тази препълват честотната лента на целта или изчерпват нейните ресурси, като правят приложенията, устройствата или мрежовите системи недостъпни за легитимните потребители. В този случай много от атаките са достигнали до два милиарда пакета в секунда (pps), засягайки по-специално слоеве 3 и 4 на мрежовата и транспортната инфраструктура, съобщи доставчикът на интернет услуги Cloudflare.

  • Цунами от DDoS атаки залива финансовата индустрия заради войните в Украйна и Газа

    През 2024 г. финансовата индустрия се е сблъскала с почти два пъти повече DDoS атаки, отколкото всяка друга. 

    Според нов доклад на компанията за облачна сигурност Akamai между 1 януари и 30 юни в сектора на финансовите услуги са регистрирани близо 3000 подобни атаки на Layer 3 и 4 (волуметрични атаки на ниво IP адреси и услуга). За сравнение, следващите отрасли, към които са били насочени най-много атаки – онлайн залаганията, високите технологии и производството – са претърпели по около 1000-1500 събития. 

    Една от основните причини за този сериозен ръст на DDoS атаките към финансовите компании е увеличаването на хакерската активност във връзка с геополитически конфликти с голям обществен интерес, като тези в Украйна и Ивицата Газа. Затова и не е изненада, че тази тенденция засяга в голяма степен европейските банки. 

    Нападателите са допълнително улеснени, когато става дума за европейски финансови организации, тъй като директивата PSD2 изисква те да предлагат отворени API за услуги на трети страни. 

  • 116% ръст на DDoS атаките срещу правителствени услуги през първата половина на 2024

    DDoS (Distributed Denial of Service) атаките са се увеличили в световен мащаб със 102% през първата половина на тази година в сравнение със същия период на 2023 г.  

    Според доклада DDoS Attacks Report на StormWall най-силно засегнат е правителственият сектор – ръст от 116% на годишна база, или 29% от общия брой на регистрираните инциденти от този вид. Това отчасти се дължи на големия брой държави, в които се проведоха избори. Ако се погледне само статистиката за Q2/2024, когато се проведоха въпросните изборни кампании, броят на DDoS атаките срещу сектора е скочил с внушителните 183% на годишна база. 

    Следващите най-често атакувани индустрии са развлекателната и финансовата – съответно 16% и 14% от DDoS атаките за първите шест месеца на годината. StormWall отбелязва значително увеличение на подобни кампании по време на Евро 2024, като на 16 юни една от услугите за стрийминг на спортни предавания е била подложена на атака от 650 Gbp/s. 

    От компанията за киберсигурност предупреждават също така, че ботнет мрежите стават все по-мощнисредният им размер се е увеличил от 5000 устройства през първата половина на 2023 г. до 20 000 през същия период на тази. 

     

  • Български лаборатории бяха атакувани с DDoS – как да предотвратите подобна атака

    На 16 март 2021 г. DDoS атака блокира сървърите на над 15 медицински лаборатории в България.

    Информацията стана известна, след като пациентите, в продължение на часове, останаха без достъп до профилите си.

    Лабораторните резултати представляват чувствителни лични данни, поставени под специален режим на закрила според правилата на Общия регламент за защита на личните данни (GDPR).

    Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.

    Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.

    За целта е нужно:

    • Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
    • Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.

    Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.

    Какви вреди може да причини една DDoS атака

    DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (Distributed DoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.

    В последно време обаче все по-често се наблюдава тенденцията хакерите да изнудват жертвите на DDoS и да изискват откуп (ransome), за да спрат атаката. Някои организации се съгласяват, тъй като ефектът от самата атака е разрушителен – услугата може да остане неналична с часове и дни, което може да бъде пагубно за един бизнес.

    DDoS се прилага на различни нива:

    • Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
    • Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
    • Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)

    Прочетете още: ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

    Препоръки към администраторите

    Полезно по темата: Cloudflare започва да изпраща нотификации за DDoS атаки

    • Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
    • Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
    • За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.
  • DDoS изнудвачи атакуват финансови институции по целия свят

    Краят на август беляза няколко успешни DDoS атаки, разкрити от компанията за киберсигурност Akamai.

    Сред засегнатите са някои от най-големите доставчици на финансови услуги в света – MoneyGram, YesBank India, PayPal и още доста други. Те са получили искане за откуп в Bitcoin, за да бъдат прекратени атаките.

    Подобни посегателства, наричани „DDoS изнудвания“ или „DDoS-за-Bitcoin“, са наблюдавани за първи път през лятото на 2016 г., но не набраха особена популярност оттогава.

    Бандата, която върлува в момента обаче, изглежда е от най-сериозните и дългогодишни играчи (още от 2016 г.). И се активизира през август, когато проведе сложни DDoS атаки, в някои случаи достигнали максимална стойност от почти 200 Gb/sec.

    За разлика от други DDoS-изнудвачи, които се насочват към публичните уебсайтове, действащата в момента група атакува резервната инфраструктура на жертвите си (API ендпойнти и DNS сървъри), което обяснява по-тежките и продължителни прекъсвания на работата при някои от засегнатите компании.

    Например, в случая на Новозеландската фондова борса (NZX) групата е атакувала доставчика на хостинг услуги на борсата (Spark), което е засегнало и останалите му клиенти.

  • ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

    Освен с пандемията от COVID-19, 2020 може да остане в историята като годината с най-висок отчетен брой DDoS атаки. Една от причините: нова техника за амплификация (буквално: раздуване) на обема на DDoS атаките и респективно: пораженията, които могат да нанесат те. Методът е улеснен от уязвимости в мрежови протоколи.

    Малко статистика

    По данни на NETSCOUT (компания, която предоставя статистика за DDoS активността в реално време), DDoS атаките растат със заплашителни темпове от началото на 2020 г. През април компанията публикува пост със заглавие „Най-черният месец в цифри„. Тогава бяха отчетени около 864 хил. атаки за периода 11 март – 11 април, най-високата бройка, засичана някога. За сравнение, предходния пик беше през ноември 2019 г. – около 751 хил. атаки.

    Месец по-късно, за периода 11 април – 11 май са отчетени още повече – 929 хил. атаки.  А причината не е само в COVID-19.

    Как се „раздува“ DDoS?

    Методът е прост. Към даден уязвим сървър се изпращат заявки. Нападателите обаче подправят (spoof) източника на всяка заявка – така отговорът за грешка от страна на сървъра ще се върне не към реалния източник на заявката, а към потенциалната жертва.

    Резултатът: претоварване на мрежата/устройствата на жертвата.

    Причините:

    • размерът на отговора е в пъти по-голям от самите заявки. За пример: да позвъните в ресторант, да поръчате от всичко и да кажете: обадете се на съседа, за да продиктувате поръчката. Съседът ви може да слуша дълго обяснението на ресторанта, което ще блокира телефона му.
    • обемът на фалшивите заявки може да е огромен. Представете си ботмрежа от хиляди компютри, изпращаща заявки към даден сървър.

    Колко опустошителни всъщност са тези атаки може да прочетете тук.

    Кои са засегнатите протоколи

    Нападателите могат да се възползват от  широк набор протоколи за такъв тип атака – например DNS, SSDP и NTP. Но в този случай атаките са по-интересни и използват протоколи като: Apple Remote Desktop’s (ARD), Apple Remote Management Service (ARMS), Web Service Dynamic Discovery (WS-DD) и Constrained Application Protocol (CoAP). Обикновено организациите пренебрегват заплахите от тези протоколи и точно затова те са толкова опасни.

    Протоколът CoAP позволява свързването на IoT устройства и комуникацията помежду им. Функционира с методи, подобни на GET и PUT  при HTTP. За разлика от HTTP обаче, CoAP е UDP базиран, което го прави податлив на атаки с подмяна на IP адреси и амплификация на пакети.

    Атакуващият изпраща малък UDP пакет до IoT устройството, което в зависимост от зададените параметри в заявката, изпраща като отговор пакет с по-големи размери. В контекста на DDoS атаките, таргетиращи този протокол, съотношението между големината на заявката и отговора, се нарича коефициент на увеличение. При извършване на DDoS атака чрез амплификация и отразяване (amplification and reflection) средният коефициент на увеличение за CoAP е 34.

    Другият често експлоатиран протокол е WS-DD, той се използва за локализиране на IoT устройства в локалната мрежа. За разлика от CoAP, той е и UDP И TCP базиран, но атаките работят по подобен начин, възползвайки се от уязвимостите в UDP протокола, като изпращат пакет с подправен IP адрес.  Според сигнала на ФБР, нападателите експлоатиращи този протокол, достигат атаки с размери по-големи от 350 гигабита в секунда.

    Конкретно срещу Apple

    Зачестиха и злоупотребите с ARD. Това е приложение за отдалечен достъп при Apple компютрите, което се използва от университети и предприятия за управление на голям брой Apple продукти. Когато ARD е активиран, услугата ARMS, извършваща комуникацията, слуша на порт 3283 (UDP) за входящи команди от отдалечени устройства на Apple. Миналия октомври атакуващите, експлоатирали ARMS при извършване на DDoS усилващи атаки, са успяли да достигнат коефициент на усилване „35.5:1“.

    ФБР също така споменава за уязвимост в Jenkins – платформа с отворен код, използвана за автоматизиране на задачи. Тази уязвимост също може да бъде използвана за DDoS атаки, въпреки че все още не е известна злоупотреба с нея. И все пак, рискът съществува, като в този случай трафика на атаката може да се увеличи до 100 пъти.

    Какво да направите, за да се защитите

    Обикновено стратегията за защита при тези видове атаки би изисквала деактивиране на  протоколите, с които се злоупотребява. Деактивирането на ARMS, WS-DD и CoAP би довело до загуба на функционалността, производителността и цялостната свързаност на бизнеса. Малко вероятно е производителите на устройства да деактивират тези функции, защото това би повлияло на качеството на предлаганите услуги за потребителя.

    Вместо това ФБР насърчава организациите да обединят усилия с местния интернет доставчик за извършване на контрол на мрежовия трафик, създаване на процедура за реакция в случай на отказ на услуга, промяна на потребителските имена и пароли, зададени по подразбиране за всички мрежови устройства, и добавяне на други допълнителни мерки за сигурност. Специалистите по сигурността също така трябва да конфигурират защитните стени на мрежата, за да блокират неоторизирани IP адреси и да деактивират пренасочването на портовете.

    Сигналът на ФБР идва след няколко мащабни DDoS атаки от тази година. Amazon Web Services съобщи, че е ударен от DDoS атака с 2.3 терабита в секунда (293 млн. пакета в секунда) през февруари, най-голямата DDoS атака регистрирана някога. През юни Akamai блокира DDoS атака, генерираща 809 млн. пакета в секунда срещу голяма европейска банка, и друга атака с 1.44 терабита за секунда (достигаща 385 млн. пакети в секунда) срещу уеб хостинг доставчик. Cloudflare също се бори с атака през юни, която достигна максималния брой от 754 млн. пакета в секунда.

    По материала работиха: Кристиян Цанков и Стелиана Козарева 

Back to top button