Báo cáo tấn công từ chối dịch vụ DDoS quý 2/2017 trên thế giới

1. Tổng quan

Trong Quý II năm 2017, các cuộc tấn công DdoS ngày càng được sử dụng như một công cụ cho cuộc đấu tranh chính trị. Cuộc khủng hoảng Qatar xảy ra cùng với cuộc tấn công vào trang web của AI Jazeera, mạng lưới tin tức lớn nhất trong khu vực; các trang web của Le Monde và Le Figaro đã được nhắm tới trong cuộc bầu cử tổng thống tại Pháp và tại Anh; trang web đăng ký cử tri của Brexit, nơi một số công dân bị loại ra khỏi cuộc trưng cầu do các vụ tấn công liên tục trên trang web này.

Một sự kiện quan trọng xảy ra ở Mỹ: Uỷ ban Truyền thông Liên bang (FCC) đã tiết lộ kế hoạch hủy bỏ nguyên tắc trung lập, bắt buộc hai năm trước. Hệ thống bình luận công khai của trang web của Ủy ban đã bị làm mất hiệu lực trong một ngày và cuối cùng đã bị vô hiệu hoàn toàn do cuộc tấn công khổng lồ. Lý do cho sự việc này vẫn chưa được xác định.

Tuy nhiên, tiền vẫn là mục tiêu chính cho các cuộc tấn công DdoS. Mối quan tâm ngày càng tăng với tiền ảo dẫn đến sự gia tăng giá trị trao đổi trong quý II năm 2017. Vụ trao đổi Bitcoin lớn nhất, Bitfinex bị tấn công cùng lúc với việc mua bán loại tiền IOT mới mà IOTA đã đưa ra trước đó. BTC-E cho biết, dịch vụ của họ đã bị chậm do cuộc tấn công DdoS mạnh mẽ này. Rõ ràng, với cách này tội phạm mạng đang cố gắng thao túng tỷ giá tiền tệ, điều có thể khiến sự biến động tiền ảo tăng cao.

Vào cuối tháng 6, có một vụ cố tình tẩy chay quy mô lớn dưới sự đe dọa của một cuộc tấn công DdoS. Các nhóm tự gọi mình là Armada yêu cầu khoảng 315,000$ đến 7 ngân hàng Hàn Quốc để đổi lấy việc không bị gián đoạn dịch vụ trực tuyến của họ. Theo một báo cáo của Radware, đây không phải là trường hợp đầy tiên của tống tiền thông qua một cuộc tấn công DdoS, được bắt đầu bởi Armada.

Những tổn thất về tài chính bắt nguồn từ các cuộc tấn công DdoS tăng không ngừng, các cơ quan thực thi pháp luật bắt đầu có những hành động nghiêm túc hơn. Vào tháng 4 năm 2017, ở Anh, một thanh niên đã bị kết án 2 năm tù vì một loạt vụ tấn công mà anh ta đã tiến hành từ 5 năm trước khi vẫn còn là sinh viên. Người đàn ông này đã tạo ra mạng botnet Titanium Stresser và kinh doanh các dịch vụ của mình trên một chợ darknet, và kiếm được khoảng 386,000$.

Không có nhiều đổi mới kỹ thuật trong các cuộc tấn công DdoS trong Quý II, tuy nhiên tin tức liên quan đến một cuộc tấn công DdoS vector mới đáng được chú ý. Các nhà nghiên cứu từ Corero Network Security báo cáo rằng họ đã đăng ký hơn 400 cuộc tấn công với sự trợ giúp của các máy chủ LDAP được cấu hình sai. Lượng tấn công lớn nhất là 33Gb/s.

Cuộc tấn công nổi tiếng quý II có thể điểm tên là cuộc tấn công DdoS trên các máy chủ của Skype. Nhiều người dùng trên toàn thế giới gặp vấn đề kết nối. CyberTeam đã nhận trách nhiệm cho chiến dịch này, tuy nhiên vẫn chưa xác định được động cơ thực hiện.

2. Xu hướng tấn công trong quý II

2.1. Ransom DdoS

Xu hướng tống tiền từ DdoS ngày càng trở nên phổ biến trong Quý này. Các tấn công phổ biến này được gọi là Ransom DdoS, hay RdoS. CÁc tội phạm mạng gửi một thông điệp đến công ty của nạn nhân, yêu cầu một khoản tiền chuộc từ 5 – 200 bitcoins. Trong trường hợp nạn nhân không thanh toán, họ sẽ tổ chức một cuộc tấn công DdoS vào nguồn tài nguyên thiết yếu của nạn nhân. Những thông điệp như vậy thường đi kèm với các cuộc tấn công ngắn hạn, nhằm mô tả sức mạnh của kẻ tấn công. Nạn nhân được chọn lựa cẩn thận. Thông thường, nạn nhân sẽ là một công ty được dự đoán sẽ thiệt hại lớn nếu không có nguồn lực có sẵn.

Cần lưu ý rằng các nhóm này ngày càng được đại diện bởi các đội ngũ hacker chuyên nghiệp, phối hợp với những người mới bắt đầu, thậm chí là những người không có kỹ năng tấn công DdoS và chỉ có phương tiện cho một cuộc tấn công. Những ai là nạn nhân của chương trình này là những công ty vì lý do này hay lý do khác không có nguồn lực để bảo đảm an ninh mạng cho các dịch vụ của họ, nhưng lại có khả năng để chi trả tiền chuộc.

2.2. Samba Cry

Một sự kiện quan trọng khác trong Quý này đó là việc phát hiện ra lỗ hổng trong phần mềm mạng Samba. Tính dễ bị tổn thương này cho phép bọn tội phạm mạng thực hiện mã từ xa trên các thiết bị chạy Linux và Unix. Samba là một bộ phần mềm cho phép giải quyết các đĩa mạng và máy in chạy trên hầu hết các hệ điều hành giống Unix, chẳng hạn như Linux, Solaris tương thích với POSIX và Mac OS X Server và các hệ điều hành BSD khác nhau.

Theo công ty Samba: “Tất cả các phiên bản của Samba từ 3.5.0 trở lên đều có một lỗ hổng triển khai mã lệnh từ xa, cho phép một trình độc hại tải thư viện chia sẻ lên và sau đó làm cho máy chủ tải và thực hiện nó.”

Ước tính sơ bộ, tổng số thiết bị có phần mềm dễ bị tổn thương đạt trên 500.000. Điều này có nghĩa là bọn tội phạm mạng có thể sử dụng các thiết bị để tạo botnet với mục tiêu thực hiện các cuộc tấn công DdoS quy mô lớn.

3. Một số con số nổi bật

- 86 quốc gia bị tấn công trong Quý 2, 2017, tăng 14 quốc gia so với Quý 1 2017

- Chỉ trong Quý 1, gần một nửa số cuộc tấn công (47,42%) đều nhắm vào các mục tiêu ở Trung Quốc.

- Trung Quốc, Hàn Quốc và Mỹ tiếp tục là các quốc gia đứng đầu về số lượng cuộc tấn công và số lượng mục tiêu bị tấn công. Trong đó, Trung Quốc là quốc gia có số lượng cuộc tấn công cao nhất, chiếm 58,07%. Hàn Quốc chiếm 14,17% và Mỹ chiến 14,03%.

- Các cuộc tấn công DDoS dài hạn xuất hiện trở lại trong Quý 2, với thời gian được ghi nhận là 277 giờ, tăng 131% so với Quý 1. Cùng thời điểm đó, các cuộc tấn công kéo dài dưới 50 giờ không có sự thay đổi so với Quý 1 (99,7% trong Quý 2, 99,8% trong Quý 1)

- Tỉ lệ các cuộc tấn công trên TCP giảm xuống đáng kể (18,2% so với 26,6%) và ICPM (giảm từ 7,2% xuống 8,2%). Điều này làm tăng tỷ lệ SYN Flood và các cuộc tấn công trên UDP và HTTP.

- Các botnet của Linux bắt đầu trở lại sau kỳ suy giảm trong Quý 1. Các botnet này chịu trách nhiệm về 51,23% các cuộc tấn công trong Quý 2 so với 43,40% trong Quý 1. Các botnet trên Windows chiếm 48,77%

4. Khu vực bị tấn công

Các cuộc tấn công DDoS diễn ra ở 86 quốc gia trong Q2, nơi mà số lượng các cuộc tấn công lớn nhất là nhằm vào Trung Quốc (58.07% của tất cả các cuộc tấn công), đó là 3 p.p. Cao hơn so với quý trước. Hàn Quốc giảm từ 22,41% xuống còn 14,17% và giữ vị trí thứ hai mặc dù, trong khi Mỹ tăng từ 11,37% lên 14,03%, hầu như bắt kịp với Hàn Quốc.

Top 10 chiếm 94,60% các cuộc tấn công và bao gồm Italy (0,94%) và Hà Lan (0,84%), đẩy Việt Nam và Đan Mạch vào Q2. Nga (1.23%) mất 0,37 p.p., giảm từ vị trí thứ tư xuống vị trí thứ sáu, trong khi Anh Quốc tăng từ 0,77% lên 1,38%, mức tăng từ vị trí thứ bảy đến thứ năm.

Distribution of DDoS attacks by country, Q1 2017 vs. Q2 2017

95,3% các vụ tấn công nhắm mục tiêu đến các mục tiêu ở các nước đứng đầu 10 trong quý 2 năm 2017.

Distribution of unique DDoS-attack targets by country, Q1 2017 vs. Q2 2017

Trung Quốc duy trì vị trí hàng đầu: 47,42%, giảm 0,36 p.p. so với Q1. Đồng thời, Mỹ đẩy Hàn Quốc xuống bằng cách tăng từ vị trí thứ ba lên thứ hai. Tương ứng, Mỹ đã tăng lên 18,63% (so với 13,80% trong quý 1), trong khi Hàn Quốc giảm từ 26,57% xuống còn 16,37%.

Tỷ lệ các mục tiêu đặt tại lãnh thổ của Nga giảm từ 1,55% trong Q1 xuống 1,33% trong Q2, đẩy Nga xuống từ vị trí thứ năm đến thứ bảy. Việt Nam và Đan Mạch đã rời khỏi top 10 và được thay thế bởi Italy (1.35%) và Australia (0.97%).

5. Động thái của số lượng các cuộc tấn công DDoS

Số lượng các cuộc tấn công mỗi ngày dao động từ 131 (17 tháng 4) đến 904 (13 tháng 4) trong quý 2 năm 2017. Số lượng tối đa được đăng ký vào ngày 24 tháng 4 (581), 7 tháng 5 (609), ngày 10 tháng 6 (614) và 16 tháng 6 (621). Một ngày suy thoái tương đối vào ngày 14 tháng 4 (192), ngày 31 tháng 5 (240), và ngày 23 tháng 6 (281).

Dynamics of the number of DDoS attacks in Q2 2017*​
_{*Since DDoS attacks may continuously last for several days, one attack may be counted several times in the timeline, i.e., once per day.}

Thứ hai là ngày yên tĩnh nhất cho các cuộc tấn công DDoS (11,74% trong tổng số các cuộc tấn công) trong quý 2 năm 2017, trong khi chủ nhật là ngày bận rộn nhất (15,57%) do hoạt động không hoạt động vào thứ bảy, giảm từ 16,05% trong quý 1 xuống còn 14,39 % Trong Q2. Thứ Năm đã trở thành ngày thứ bận rộn thứ hai, đến ngay sau Chủ Nhật (15,39%).

Distribution of DDoS attacks by day of the week

6. Các loại và thời gian của các cuộc tấn công DDoS

SYN Flood đã trở lại vị trí bị mất trong quý trước, tăng từ 48,07% lên 53,26% trong quý 2 năm 2017. Có sự gia tăng tỷ lệ phần trăm cho cả hai cuộc tấn công UDP (từ 8,71% lên đến 11,91%) và các cuộc tấn công HTTP (từ 8,43% Đến 9,38%). Đồng thời, tỷ lệ các cuộc tấn công TCP DDoS giảm mạnh từ 26,62% xuống 18,18%, trong khi sự phổ biến của các cuộc tấn công ICMP giảm nhẹ từ 8,17% xuống 7,27% (trong số tất cả các cuộc tấn công đã đăng ký).

Distribution of DDoS attacks by type

Các cuộc tấn công dài hạn trở lại với số liệu thống kê trong Q2 2017: 0,07% các cuộc tấn công kéo dài hơn 100 giờ, trong khi cuộc tấn công ghi lại tiếp tục cho 277 giờ, 157 giờ dài hơn so với kỷ lục của quý trước. Đồng thời, tỷ lệ tấn công kéo dài 4 giờ hoặc ít hơn đã tăng từ 82,21% trong Q1 lên 85,93% trong Q2. Như vậy, tỷ lệ tấn công từ 5 đến 49 giờ đã giảm.

Distribution of DDoS attacks by duration (hours)

7. Máy chủ C & C và các loại botnet

3 nước đứng đầu với số lượng máy chủ C & C lớn nhất đã được thay đổi chút ít trong Q2: Trung Quốc giữ vị trí thứ ba với 7,74%, lật đổ Hà Lan, di chuyển xuống vị trí thứ tư mặc dù tăng từ 3,51% lên 4,76%. Hàn Quốc giữ vị trí dẫn đầu và giảm từ 66,49% xuống còn 49,11%, trong khi Mỹ vẫn giữ vị trí thứ hai (16,07%). 3 quốc gia hàng đầu chiếm 72,92% tổng số máy chủ C & C.

Top 10 bao gồm Canada và Đan Mạch (0,89%), lật đổ Romania và Anh trong Q2. So với quý 1 năm 2017, thị trường Hồng Kông giảm mạnh (giảm xuống 1.19% so với 1.89%) và Nga (giảm 2.68% so với 3.24%).

Distribution of botnet C&C servers by country in Q2 2017

Sự phân bố của hệ điều hành trở nên gần như cân bằng trong Q2: tỷ lệ các botnet dựa trên Linux chiếm 51,23%; Theo đó, các botnet dựa trên Windows bao gồm 48,77%.

Correlation between Windows- and Linux-based botnet attacks

8. Kết luận

Không có thay đổi đặc biệt trong số liệu thống kê của quý II năm 2017 so với quý trước. Như trước đây khoảng một nửa các cuộc tấn công DDoS vẫn còn có nguồn gốc ở Trung Quốc, cũng ở Trung Quốc là một nửa trong số các mục tiêu tấn công phát hiện.

Quý thứ hai khá rõ ràng cho thấy mối đe dọa tấn công DDoS được nhận thấy khá nghiêm túc. Một số công ty đã chuẩn bị sẵn sàng trả các tội phạm mạng theo nghĩa đen sau khi có nhu cầu đầu tiên của họ mà không cần chờ đến khi bị tấn công lớn hơn. Điều này đặt ra một làn sóng gian lận mới liên quan đến việc tống tiền tiền tệ dưới sự đe dọa của một cuộc tấn công DDoS, còn được gọi là "tiền ransom DDoS". Mức độ nghiêm trọng của tình hình có thể được nhìn thấy trong việc thường xuyên bỏ qua các tội phạm mạng để chứng minh khả năng của họ; Thay vào đó, những kẻ gian lận sẽ chỉ gửi thông báo về tiền chuộc cho một số lượng lớn địa chỉ. Chắc chắn, "ngưỡng cửa nhập cảnh" cho tiền chuộc DDoS là rất thấp, những kẻ gian lận không cần nguồn lực đáng kể cũng như kỹ năng kỹ thuật hay kiến thức.