Jsou hlavním zdrojem útoků dnes botnety? Nebo je pro útočníky jednoušší pronajmout si služby v datovém centru? Odpovídá Petr Kadlec, Senior Data Engineer společnosti ComSource.
Jak dlouho sledujete a vyhodnocujete DDoS útoky v Česku?
DDoS útoky zacílené na české firmy sledujeme od roku 2014, kdy jsme začali našim zákazníkům poskytovat antiDDoS řešení. Systematickým analyzováním útoků se pak zabýváme od srpna 2020. Automaticky analyzujeme a mitigujeme zjištěné útoky a dále zpětně detailně analyzujeme 10 až 12 nejsilnějších, respektive z technického hlediska nejzajímavějších útoků za každý kalendářní měsíc. Získaná data používáme především pro monitoring funkčnosti a zdokonalování vlastních služeb, každý měsíc i zveřejňujeme souhrnnou zprávu.
Jaký je původ dat (jsou to firmy, které chráníte, nebo analyzujete síťový provoz jako celek apod.)?
Surová data pocházejí z několika zdrojů naší síťové infrastruktury. Jedná se především o countery ze síťových rozhraní, countery z mitigačních pravidel, logy ze specializovaných zařízení detekujících útoky (behaviorální analýzy, signatury síťového provozu) a metadata o síťovém provozu z hraničních routerů (IPFIX). V konečném důsledku se tedy jedná o analýzu síťového provozu protékajícího naší infrastrukturou – tedy analyzujeme jak náš sítový provoz, tak i provoz námi chráněných zákazníků.
Můžete uvést hlavní trendy za sledované období (původ útoků, jejich počty, intenzita…)…
Za dobu, po kterou útoky analyzujeme, je možné vysledovat nějaké trendy, a to především u tzv. volumetrických útoků. Co se týče postupů a metod, tak dochází k obecnému přesunu od volumetrických útoků k aplikačním. Volumetrické útoky spočívají ve vygenerování abnormálně velkého datového toku, který obvykle zahltí internetové připojení. Aplikační útoky jsou co do datového přenosu nesrovnatelně menší, ale cílí na nejslabší místo aplikační služby. Navíc díky malému datovému přenosu nejsou v celkovém síťovém provozu na první pohled vidět. My tomu pracovně říkáme přesun od buldozeru k pinzetě. U volumetrických útoků se také objevují všemožné snahy o maskování s cílem zkomplikovat detekci abnormálního toku a jeho selektivní filtraci. Například kobercovým náletem, kdy útok probíhá na všechny IP adresy daného IP rozsahu, náhodným generováním zdrojových a cílových portů L4, nebo zneužitím běžně nepoužívaných IP protokolů, případně jejich náhodným generováním.
Z pohledu zdroje útoků dle geografické registrace IP adres se v poslední době statisticky nejčastěji objevuje Rusko. Vzhledem k tomu, že mezi organizátorem útoku a IP adresami zneužitými pro útok nemusí být žádná geografická vazba, můžeme se pouze domnívat, zda je důvodem válka na Ukrajině, anebo jen prostě mizerné zabezpečení či laxní správa tamní infrastruktury.
Zdroje útoků se vyvíjí i z pohledu použitých zařízení. Dříve byly nejčastějším zdrojem aplikačních útoků sítě počítačů či jiných zařízení infikované malwarem a centrálně řízené útočníkem tzv. botnety. Avšak to vyžaduje předchozí investici do získání kontroly nad těmito zařízeními. Navíc jakmile botnet zaútočí, tak se i prozradí (dostanou se do tzv. reputační databáze IP adres). V poslední době zaznamenáváme vyšší koncentraci IP adres z datových center, o kterých je známo, že nedostatečně ověřují, komu pronajímají své služby. Takže útočník si může na krátký čas pronajmout výpočetní výkon datového centra na útok, provést sérii útoků a přesunout se jinam. Reputační databáze tak ztrácejí na významu, a naopak škodí novým nájemníkům datového centra.
Jako poslední bod bych zmínil, že roste intenzita útoků (objem datového toku za jednotku času), a klesá doba jeho trvání. Vysvětlujeme si to tak, že významné volumetrické útoky afektují nejen svůj cíl, ale i transitní sítě a čím silnější útok, tím více aktérů se jej snaží mitigovat.
Které ze zaznamenaných incidentů byste označili za nejvážnější?
Každý chráněný zákazník, respektive chráněná služba, má nějaký svůj ekonomický limit, do kterého má smysl ji chránit. Po jeho dosažení už dává smysl jen cíl útoku obětovat s cílem zachránit zbytek infrastruktury a ostatní zákazníky a služby (tzv. blackholing). Jinými slovy nekonečně velká ochrana stojí nekonečně velké peníze. Díky tomu považujeme za nejvážnější incidenty, které afektují mnoho zákazníků a služeb najednou. Například útoky na hraniční routery významných poskytovatelů internetu.
Platí, že hlavním zdrojem DDoS útoků jsou botnety, sítě kompromitovaných počítačů, jejichž uživatelé si nejsou vědomi, že jejich zařízení je zapojeno do příslušné činnosti? Nebo např. pro útoky z Ruska platí něco jiného?
Jak již bylo zmíněno výše, situace se začíná měnit. Útočníci jdou cestou nejmenšího odporu, respektive nejnižších investic. Pokud existuje nějaká zranitelnost na mnoha zařízeních, je snadné si pořídit botnet. V opačném případě je efektivnější si pod falešnou identitou pronajmout servery v datovém centru, které mají mnohem lepší připojení k internetu.
Jsou dnes podstatnými zdroji DDoS útoků i další kompromitovaná zařízení? (síťové prvky, chytré žárovky, smartphony…)
Nemáme dostatek potřebných dat, ale lze předpokládat, že čím rozmanitější zaměření lacinějších zařízení, tím bude kratší doba podpory ze strany jejich výrobců, a tím více zranitelností, které umožní nad těmito zařízeními získat kontrolu.
Jak často jsou sledované útoky provázené dalšími akcemi, třeba snahou narušený systém ovládnout, proniknout do něj? A zaznamenali jste nějaký úspěch těchto snah?
Já se domnívám, že je to obráceně. Sledované volumetrické útoky mohou sloužit k maskování jiné činnosti útočníka (jiných druhů útoků), které naznačujete. Například jde o maskování chytrého útoku, zaměstnání obslužného personálu, nebo vyřazení bezpečnostních a monitorovacích systémů přetížením.