Ataki DDoS II poł. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2011

W Rosji i na Ukrainie wykryliśmy nowe bonety stworzone przy użyciu programów sprzedawanych na forach „podziemia”. Co ciekawe, przy pomocy tych botnetów atakowane były cele zlokalizowane w tych samych krajach co botnety. Wcześniej obserwowaliśmy głównie ataki, w których boty i atakowane przez nie serwery znajdowały się w różnych krajach.

Wyraźna zmiana w rozkładzie ruchu, jak również dołączenie Rosji i Ukrainy do grona liderów, częściowo spowodowane były aktywnym stosowaniem niektórych zabezpieczeń przed atakami DDoS. Jedną z metod blokowania ataków DDoS jest filtrowanie ruchu na podstawie państw źródłowych. Idea jest bardzo prosta: w momencie wykrycia ataku DDoS zostaje uruchomiony system, który odrzuca wszystkie pakiety danych z wyjątkiem tych, które pochodzą z określonego państwa. Na dostęp do zasobu zezwala się z reguły jedynie użytkownikom z państwa, w którym zlokalizowana jest większość użytkowników strony. To dlatego, aby zapobiec filtrowaniu ich ruchu, cyberprzestępcy muszą tworzyć botnety w określonych państwach i wykorzystywać je do atakowania zasobów w tych samych lokalizacjach geograficznych.

Jednocześnie aktywne są również botnety, które działają w oparciu o „klasyczne” podejście polegające na tym, że ataki są przeprowadzane przy użyciu zasobów poza krajem, w którym zlokalizowany jest serwer „pod ostrzałem”. Tajlandia i Malezja stanowią dobre przykłady państw, w których znajduje się ogromna liczba niechronionych komputerów, przy czym wydaje się, że osoby kontrolujące boty otrzymują stosunkowo niewiele poleceń atakowania stron internetowych w tych państwach. To oznacza, że region ten doskonale nadaje się do ustanawiania botnetów przez cyberprzestępców.

W porównaniu z pierwszą połową roku zmieniły się również państwa odpowiedzialne za 2-4% wszystkich ataków DDoS. Grupa ta liczy tylko trzy państwa o wysokim poziomie komputeryzacji i bezpieczeństwa IT: Irlandię (2%), Stany Zjednoczone (3%) oraz Polskę (4%). Pozostałymi generatorami „bezwartościowego” ruchu były zainfekowane komputery w krajach rozwijających się, gdzie liczba komputerów na głowę jest znacznie mniejsza, a bezpieczeństwo IT nie stanowi mocną stronę: Meksyk (4%), Indie (4%), Pakistan (4%), Białoruś (3%), Brazylia (3%) itd.

Rozkład atakowanych stron według typu i aktywności online

Czołową pozycję utrzymał segment handlu online (sklepy internetowe, aukcje, portale do zamieszczania ogłoszeń sprzedaży itd.): strony te stanowiły cel 25% wszystkich zarejestrowanych ataków.

Przed Nowym Rokiem zaczęła wzrastać liczba ataków DDoS na strony internetowe oferujące różne towary. Wśród najczęstszych celów ataków znalazły się sklepy sprzedające drobny sprzęt gospodarstwa domowego, urządzenia do domu, elektronikę, odzież znanych projektantów dla dzieci i dorosłych, jak również akcesoria i kosztowną biżuterię.

Na drugim miejscu znalazły się elektroniczne serwisy obrotu. Zarabianie pieniędzy przy użyciu nieuczciwych sztuczek nie jest niczym nowym w świecie finansowym, a jedną z nich są ataki DDoS. Warto zauważyć, że w drugiej połowie roku hakerów interesowały strony internetowe, za pośrednictwem których instytucje rządowe i miejskie składają swoje zamówienia.

Strony poświęcone grom stanowiły 15% wszystkich ataków DDoS, o 5 punktów procentowych mniej niż w drugim kwartale 2011 roku. Głównym celem ataków były strony oferujące usługi hostingu serwerów gier. Pod względem liczby ataków tuż za nimi uplasowały się serwery (w większości posiadane przez piratów oprogramowania) oferujące różne gry online. Najwięcej ataków odnotowały serwery Lineage2 MMORPG oraz serwery hostujące różne klony Minecraft – bardzo popularnej gry w ostatnich miesiącach.

Media padły ofiarą 2% wszystkich ataków DDoS. Zaatakowane zostały strony internetowe kanałów telewizyjnych oraz wydawców gazet i magazynów w kilku byłych republikach radzieckich.

Odsetek ataków na strony rządowe stopniowo wzrasta. W drugiej połowie 2011 r. wynosił 2%. Ataki przeprowadzane były głównie na oficjalne strony władz lokalnych lub dużych miast. Motywy przeprowadzania ataków na strony rządowe są różne, jednak w większości przypadków ataki są formą protestu przeciwko działaniu lub braku działania władz.