Krajobraz ataków DDoS w 2017 r. Branża gamingowa najbardziej zagrożona.
O ile w 2016 r. temat ataków typu DDoS (z ang. distributed denial of service), czyli ataków na system lub usługę sieciową celem jej sparaliżowania, rozgrzewał regularnie media, o tyle w ubiegłym roku stracił on nieco na popularności. Nie znaczy to jednak, że zagrożenie zniknęło.
Wręcz przeciwnie – statystyki OVH z 2017 r. dowodzą, że wciąż doskonalone technicznie ataki typu denial of service są wyzwaniem zarówno dla graczy online, dostawców usług chmury, ale także providerów Internetu (ISP). Tylko w 2017 roku stworzony przez firmę OVH system automatycznego przejmowania i neutralizacji ataków DDoS wykrywał średnio 1800 ataków dziennie, czyli ok 50 000 miesięcznie.
Co ciekawe, ta sama technologia wykazała, że „najspokojniejszy” był 16 marca (zaledwie 981 odnotowanych ataków), a rekord roku przypadł na 4 października ubiegłego roku – 7415 ataków.
Na podstawie analiz adresów IP, które zaatakowano oraz danych o użytkownikach tych adresów, dostawcy są w stanie zidentyfikować główne cele.
Największym zainteresowaniem atakujących cieszą się usługi gier online, a liderem pozostają serwery serii Minecraft. Dane Akamai Technologies, zajmującej się m.in. przechowywaniem danych, pokazują, że w drugiej połowie 2017 roku (III i IV kwartał) ataki na serwery gamingowe wyniosły odpowiednio 86 i 79% spośród wszystkich zagrożeń tego typu
Nie słabnie także rywalizacja pomiędzy administratorami serwerów gier, angażujących się w prawdziwe cyberwojny. Serwery popularnych gier generują dochód, który motywuje administratorów do wzajemnego atakowania w celu obniżenia jakości usług konkurencji.
Według statystyk, drugie miejsce zajmują platformy e-commerce. Tu w równej mierze ofiarami ataków padają duzi gracze, jak i małe sklepy o umiarkowanym ruchu. Chodzi o próby wymuszania, przy czym ich schemat jest często powtarzalny: po pierwszym ataku, haker wysyła mail, żądając okupu zwykle w wirtualnej walucie Bitcoin (BTC) lub w Monero (XMR). Jako że w większości są to puste groźby, eksperci zalecają, by nie ulegać szantażowi. W przeciwnym wypadku dotuje się działalność przestępczą, bez gwarancji, że po zapłacie okupu ataki się nie powtórzą. Skutecznym rozwiązaniem jest wybranie usług dostawcy, który będzie umiał przeciwdziałać atakom, co zniechęci napastników.
Pozostałe rodzaje atakowanych usług są niejednorodne, dlatego ciężko je sklasyfikować. Innowacyjne startupy, administracja publiczna lub serwisy informacyjne (media czy blogi), każdy jest potencjalną ofiarą cyberzagrożeń. Motywacja ataków też jest różna: od rywalizacji pomiędzy konkurencją, przez spory z użytkownikami, po cenzurę w przypadku mediów.
„Co ciekawe, większość ataków jest przeprowadzanych wieczorem, między godziną 19 a 21. Wczesny wieczór to najbardziej krytyczna pora dla większości platform gamingowych oraz e-commerce, które wówczas cieszą się największą popularnością. Kluczowa jest wysoka przepustowość, obsługująca zarówno pożądany ruch do serwerów, jak i ten niepożądany, będący atakiem. Przy czym na jakość usług – odczuwaną przez wszystkich użytkowników – wpływa nawet najmniejszy zator” –
mówi Clément Sciascia, lider zespołu pracującego nad projektem VAC, technologią opracowaną przez OVH w celu przejmowania i neutralizacji ataków DDoS.
W większości przypadków motywy ataków są finansowe: albo bezpośrednio, poprzez próby wyłudzenia, albo pośrednio, poprzez unieszkodliwienie konkurencji w celu przejęcia jej klientów. Te praktyki, mimo że najczęściej wycelowane w gaming, nie ograniczają się jedynie do gier online. Zdarzało się już, że producenci rozwiązań anty-DDoS zlecali ataki, aby w następnym kroku promować ochronę przed nimi wśród swoich ofiar.
„W 2017 r. nie odnotowaliśmy do naszej sieci ataków, które przekraczałyby rekordowy terabajt na sekundę. Mimo to zainwestowaliśmy w wydajność systemu VAC oraz sieci szkieletowej (backbone), aby móc im przeciwdziałać” – komentuje Clément Sciascia
„Takie ataki są nieuniknione, choćby dlatego, że istnieją umożliwiające je techniki, w szczególności botnety (sieci zainfekowanych i zdalnie sterowanych urządzeń)” – dodaje C. Sciascia.
Patrząc na statystyki ubiegłorocznych największych zagrożeń, można powiązać każdy ze szczytów z pojawieniem się nowego botnetu, składającego się z urządzeń połączonych (IoT) lub skompromitowanych routerów. Najpotężniejsze ataki są przeprowadzane przy użyciu „botnetów”, a w szczególności tych z rodziny Mirai, czyli wykorzystujących fragmenty kodu o tej samej nazwie, który został opublikowany dwa lata temu przez jego twórcę.
Na podstawie analizy danych, eksperci OVH zidentyfikowali trzy główne trendy:
ewolucja typologii ataków: ich intensywność pod względem przepustowości nie zmieniła się tak bardzo, jak w przypadku ich intensywności pod względem liczby pakietów na sekundę;
gwałtowny wzrost liczby ataków na warstwę aplikacji;
architektura botnetów IoT ostatecznie udowadnia, że cyberprzestępcy będą polegać na podatnościach obiektów połączonych.
O firmie
Grupa OVH jest dostawcą hiperskalowalnych rozwiązań chmurowych o nieprzeciętnej wydajności. Założona w 1999 we Francji, przez polską rodzinę Klaba, grupa OVH zarządza 27 centrami danych w 12 lokalizacjach, na 4 kontynentach. Firma rozwija globalnie własną sieć światłowodową oraz zarządza zintegrowanymi usługami hostingowymi. OVH dostarcza innowacyjne rozwiązania technologiczne dla ponad 1000 000 klientów na całym świecie, działając w oparciu o własną infrastrukturę, działy R&D oraz oferując wsparcie 24h. DNA marki tworzą wartości, takie jak: szacunek wobec jednostki, poszanowanie wolności oraz równość w dostępie do najnowszych technologii. Polski oddział OVH został założony we Wrocławiu w 2004 roku i nieprzerwanie realizuje z sukcesem misję firmy – „Wolność dzięki innowacji”, czyli „Innovation is Freedom”.
1 Raport Akamai Technologies, Q4 2017 State of the Internet / Security Report, luty 2018
Komentarze