La France, cible prioritaire des attaques DDoS en 2015 selon Kaspersky Lab

La France, cible prioritaire des attaques DDoS en 2015 selon Kaspersky Lab | UnderNews

Voila une information qui ne va pas rassurer les professionnels de l’Internet en France… Et pour cause, l’éditeur de solutions de sécurité russe Kaspersky Lab a publié une étude plaçant la France en première place du podium en termes d’attaques DDoS en Europe lors du second trimestre 2015.

Les trois quarts des ressources attaquées au deuxième trimestre de 2015 par des botnets se situent dans 10 pays seulement, selon les statistiques du système Kaspersky DDoS Intelligence.

En tête du classement, les Etats-Unis et de la Chine enregistrent un grand nombre d’attaques à cause du faible coût d’hébergement de ces pays. Cependant, les changements dans les autres positions du classement et le nombre croissant de pays affectés par ce type d’attaque prouvent qu’aucun territoire n’est sécurisé face aux attaques DDoS. 

Faits clés : 

• Le nombre de pays où les ressources attaquées ont été localisés a augmenté de 76 à 79 au cours du deuxième trimestre de 2015 ;
• Dans le même temps, 72% des victimes se situaient dans seulement 10 pays ;
• Cependant, ce chiffre a diminué comparé à la période précédente, avec 9 victimes sur 10 présentes dans le top 10 au premier trimestre. 

Répartition des cibles uniques des attaques DDoS par pays, Q2 vs. Q1 2015 

Le top 10 du deuxième trimestre incluait la Croatie, tandis que les Pays-Bas ont quitté le classement. La Chine et les Etats-Unis ont gardé leurs positions dominantes ; la Corée du Sud a fait descendre le Canada de sa troisième place. La cause en est une explosion des activités de botnets, la plupart ciblant la Corée du Sud. En outre, la proportion d’attaques localisées en Russie et au Canada a diminué comparé au trimestre précédent.

« Les techniques d’ingénierie sociale, l’apparition de nouveaux types d’appareils avec accès internet, les failles logicielles et la sous-estimation de l’importance d’une protection anti-malware ont contribué à la diffusion des botnets et à l’augmentation du nombre d’attaques DDoS. Par conséquent, des entreprises complètement différentes peuvent être ciblées indépendamment de leur location, de leur taille ou de leur type d’activité. La liste des victimes protégées des attaques DDoS par Kaspersky Lab au second trimestre 2015 incluait des organisations gouvernementales, des institutions financières, des médias de masse et même des institutions éducatives » a commenté Evgeny Vigovsky, Directeur de Kaspersky DDoS Protection, chez Kaspersky Lab. 

Les statistiques de Kaspersky DDoS Intelligence ont également montré des changements significatifs dans la quantité d’attaques DDoS basées sur des botnets à travers le temps : 

• Une forte augmentation du nombre d’attaques a été observée dans la première semaine de mai, tandis que la fin du mois de juin montrait la plus faible activité ;
• Le pic d’attaques par jour (1960) a été enregistré le 7 mai ;
• Le jour le plus « calme » a été le 25 juin avec seulement 73 attaques enregistrées ;
• Dans le même temps, la plus longue attaque DDoS du trimestre a duré 205 heures (8,5 jours).

Concernant la technologie sur laquelle sont basées les attaques, les cybercriminels impliqués dans le développement de botnets DDoS investissent de plus en plus dans la création de botnets d’appareils de systèmes de réseaux comme les routeurs et modems DSL. Ces changements annoncent sûrement une augmentation du nombre d’attaques DDoS utilisant des botnets à l’avenir. 

Kaspersky DDoS Intelligence Report Q2 2015

Pour en apprendre plus sur les principes qui sous-tendent Kaspersky DDoS Protection, vous pouvez consulter ce document. La version complète du rapport sur les données reçues du système de surveillance Kaspersky DDoS Intelligence est disponible sur Securelist.com. 

Attaques DDoS – Une problématique d’envergure

Ce type de cyberattaque est aujourd’hui simple à mettre en place et peut coûteux. Ces points sont les principales raisons qui font que le DDoS est en vogue. Malheureusement, les DDoS font des ravages assez facilement, anéantissant n’importe quel business dans un laps de temps assez ridicule… Comble du comble, les mesures de protection contre ce type d’attaque sont hors de prix, alors que les outils d’attaques sont très peu cher et largement accessibles à tous.

Par ailleurs, une technique de chantage de plus en plus exploitée par les cybercriminels aux USA a mené le CERT USA à lancer une alerte sur l’extorsion de fonds touchant les entreprises, le 17 août 2015. Et idem du côté de l’Internet Crime Center (IC3).

DDoS Botnet Leverages Thousands of Insecure SOHO Routers

DDoS Botnet Leverages Thousands of Insecure SOHO Routers

Small office and home office (SOHO) routers are an increasingly common target for cybercriminals, not because of any vulnerability, but because most routers are loosely managed and often deployed with default administrator credentials.

A new report suggests that hackers are using large botnet of tens of thousands of insecure home and office-based routers to launch Distributed Denial-of-Service (DDoS) attacks.

Security researchers from DDoS protection firm Incapsula uncovered a router-based botnet, still largely active while investigating a series of DDoS attacks against its customers that have been underway since at least last December, 2014.

Over the past four months, researchers have recorded malicious traffic targeting 60 of its clients came from some 40,269 IP addresses belonging to 1,600 ISPs around the world.

Almost all of the infected routers that were part of the botnet appear to be ARM-based models from a California-based networking company Ubiquiti Networks, sold across the world.

This makes researchers believed that the cyber criminals were exploiting a firmware vulnerability in the routers.

What’s revealed in the close inspection?

However, this assumption was proved wrong when inspected deeply, revealing that…
All of the compromised routers could be remotely accessible on the default ports (via HTTP and SSH)
Almost all of those accounts continued to make use of vendor-provided login credentials

This basically opens the door for an attacker to man-in-the-middle (MitM) attacks, eavesdrop on all communication, cookie hijack, and allows hackers to gain access to other local network devices such as CCTV cameras.

Router makers design their devices in such a way that it can be easily connected, and therefore they give each user the same administrator credential, without giving any warning to change the default credentials. Moreover, instead of allowing users to turn on remote administration, the manufacturers make it on by default.

"Given how easy it is to hijack these devices, we expect to see them being exploited by additional perpetrators," researchers wrote. "Even as we conducted our research, the Incapsula security team documented numerous new malware types being added—each compounding the threat posed by the existence of these botnet devices."

A variety of DDoS malware involvement

The security firm also discovered a variety of DDoS malware programs, including MrBlack, Dofloo, and Mayday, installed on the insecure devices in order to attempt other malicious tasks such as:

• Redirect victims to malicious websites
• Intercept victims’ online banking sessions
• Inject rogue and malicious advertisements into the victim's Web traffic
• Steal login credentials for various online accounts
• Perform other illegal activities

The question remains — Who is behind this botnet?

Researchers found some indirect evidence correlating the router-based botnet to a notorious hackers group called Lizard Squad, a group that has used compromised routers to launch DDoS attacks against Sony's PlayStation and Microsoft's Xbox networks.

Back in January, Lizard Squad set up a DDoS-for-hire service called Lizard Stresser that was using hacked home routers. However, Incapsula believes that it’s not Lizard Stresser because it is powered by different malware programs.

The botnet comprises devices in 109 countries, with Thailand (64 percent), Brazil, and the United States being the top three most-affected nations. Also, the firm identified 60 command and control servers used by criminals to control the botnet, the majority of them were located in China and the U.S.

The bottom line

Users should also keep in mind the safety of their devices by making sure that they:

• Disable all remote access to the devices unless it's specifically needed
• Change the default login credentials for their routers to prevent unauthorized access
• Router firmware is up-to-date

Compromised routers are not at all new. Some manufacturers, including Linksys, Asus, D-Link, Micronet, Tenda, and TP-Link, have been known to be vulnerable. Incapsula has informed specific routers manufacturers and the relevant ISPs about the insecurity of the routers they market.

Google Online Security Blog: A Javascript-based DDoS Attack as seen by Safe Browsing

To protect users from malicious content, Safe Browsing’s infrastructure analyzes web pages with web browsers running in virtual machines. This allows us to determine if a page contains malicious content, such as Javascript meant to exploit user machines. While machine learning algorithms select which web pages to inspect, we analyze millions of web pages every day and achieve good coverage of the web in general.

In the middle of March, several sources reported a large Distributed Denial-of-Service attack against the censorship monitoring organization GreatFire. Researchers have extensively analyzed this DoS attack and found it novel because it was conducted by a network operator that intercepted benign web content to inject malicious Javascript. In this particular case, Javascript and HTML resources hosted on baidu.com were replaced with Javascript that would repeatedly request resources from the attacked domains.

Source: Google Online Security Blog: A Javascript-based DDoS Attack as seen by Safe Browsing

Google DDoS

Le blogueur Chr13 a découvert une technique permettant de lancer une attaque DDoS via Google Docs... c'est-à-dire en utilisant les serveurs de Google directement.

Il lui suffit de trouver un bon gros fichier à télécharger sur le site de la victime... Un PDF par exemple. Puis de l'appeler comme si on appelait une image, directement dans Google Spreadsheet (le tableur).

Il suffit ensuite de mettre un paramètre à la fin de l'URL puis de générer un grand nombre de lignes.

Le crawler FeedFetcher ira alors charger ce fichier de très nombreuses fois. Il suffit alors pour l'attaquant de créer de très nombreux appels puis d'ouvrir plusieurs fois le document pour provoquer un flood HTTP qui déboite à partir d'un simple PC (même connecté à un 56K).

Un fichier de 10 MB chargé encore et encore à la vitesse de 700 Mbps par Google durant 45 minutes équivaudrait d'après Chr13 à une consommation de bande passante de 240 GB en à peine 45 min. Énorme !

De quoi mettre par terre n'importe quel site web en utilisant la bande passante de Google. C'est aussi simple que ça.

Si vous êtes victime de l'une de ces attaques, il faudra bloquer le user-agent correspondant au crawler FeedFetcher.

Google est informé de ce petit souci... Reste à voir combien de temps ils mettront pour le corriger.

Source : Korben

A good Google project : Digital Attack Map