Si può amplificare un attacco DDoS fino a 4 miliardi di volte? Purtroppo sì, ecco come
E’ delle scorse ore la pubblicazione da parte di Akamai di un’analisi, condotta in collaborazione con altre sette realtà del settore (Cloudflare, Lumen Black Lotus Labs, Mitel, Netscout Arbor ASERT, Telus, Team Cymru e Shadowserver Foundation), che illustra un nuovo metodo per la creazione di attacchi Distributed Denial of Service particolarmente distruttivi, capaci di spazzare via il record degli attacchi più massicci avvenuti in passato.
Gli attacchi DDoS sono un tipo di aggressione informatica che viene largamente utilizzata per mettere in ginocchio un servizio web investendolo con un numero di richieste e traffico che non è in grado di gestire, saturando quindi tutte le risorse di cui può disporre. Gli attacchi DDoS vengono spesso condotti in una logica di “minima spesa, massima resa”, e cioè sfruttano meccanismi capaci di amplificare la potenza di fuoco originaria in maniera tale che l’aggressore non debba disporre di una struttura proprietaria e della relativa larghezza di banda atta a sostenere un attacco.
I record attuali per gli attacchi DDoS sono di 3,47 terabit al secondo per le aggressioni di tipo volumetrico e di 809 milioni di pacchetti a secondo per quelle ad esaurimento. I primi hanno effetto consumando la larghezza di banda disponibile per il servizio preso di mira, mentre i secondi vanno a sovraccaricare il server bersaglio.
Attacchi DDoS amplificati fino a 4 miliardi di volte
L’analisi pubblicata da Akamai mostra come gli aggressori abbiano utilizzato nell’ultimo mese i sistemi di collaborazione Mitel MiCollab e MiVoice Business Express per condurre attacchi DDoS con il potenziale di amplificare il volume di fuoco originario fino a 4 miliardi di volte e per periodi di tempo particolarmente estesi, non raggiungibili prima d’ora. A titolo di confronto basti pensare che il maggior fattore di amplificazione conosciuto fino ad ora è stato di 51 mila volte.
I servizi Mitel MiCollab e MiVoice Business Express fungono da gateway per il trasferimento delle comunicazioni telefoniche PBX a Internet e viceversa. Questi prodotti includono un driver per schede di interfaccia di elaborazione VoIP TP-240 che presenta una funzione per sottoporre a stress-test la capacità delle reti. Le direttive di Mitel prevedono che questo tipo di test venga effettuato solo su reti private interne, ma accessibili su Internet si trovano circa 2600 server che non hanno rispettato questa indicazione.
Il software di collaborazione Mitel MiCollab
“Questo particolare vettore di attacco differisce dalla maggior parte delle metodologie di attacco di riflessione/amplificazione UDP in quanto la struttura di test del sistema esposto può essere utilizzata in modo improprio per lanciare un attacco DDoS prolungato della durata massima di 14 ore per mezzo di un singolo pacchetto di avvio dell’attacco contraffatto, risultando in un rapporto di amplificazione dei pacchetti da record di 4.294.967.296: 1. Un test controllato di questo vettore di attacco DDoS ha prodotto più di 400 milioni di pacchetti al secondo di traffico di attacco DDoS sostenuto” si legge nel rapporto di Akamai.
Chi ha sfruttato questa tecnica per condurre attacchi DDoS negli ultimi mesi sembra ancora in una fase sperimentale e di studio: il più grande attacco osservato fino ad ora è stato di 53 milioni di pacchetti al secondo e 23Gbps, con una dimensione media del pacchetto di 60 byte e per una durata complessiva di 5 minuti. Nell’ultimo mese gli attacchi condotti con queste modalità hanno colpito, tra gli altri, istituzioni finanziarie, società di logistica e realtà gaming.
Nel corso della giornata di ieri Mitel ha rilasciato gli aggiornamenti software necessari a prevenire che lo stess test citato precedentemente possa essere aperto all’esterno.
Fonte: http://feeds.hwupgrade.it/