Non invité à l'hébergement : les experts ont découvert un dangereux botnet attaquant les fournisseurs informatiques

StormWall, une société qui fournit des services de sécurité de l'information, a déclaré à Forbes qu'un nouveau botnet dangereux avait été découvert et mène de puissantes attaques DDoS contre les fournisseurs d'hébergement russes. Selon les analystes, la puissance d'attaque maximale a atteint 1,5 Tbps - l'un des indicateurs les plus importants enregistrés cette année, et le botnet était constitué de divers appareils piratés, dont le nombre dépassait les 100 000, dont principalement des routeurs ASUS.

StormWall a déclaré que les attaques visaient cinq fournisseurs d'hébergement russes, mais n'a pas divulgué leurs noms. Les attaques provenaient principalement d'adresses IP situées dans des pays tels que les États-Unis (la plupart des attaques - 62 %), la Chine, Hong Kong, Singapour, la Roumanie et l'Ukraine. Les attaques provenant d’adresses IP russes représentaient 9 % de toutes les attaques. Au total, plus de 100 000 adresses IP uniques de botnets ont été identifiées.

Ramil Khantimirov, PDG et co-fondateur de StormWall, a récemment déclaré que même si les pirates informatiques utilisent régulièrement des botnets pour lancer des attaques DDoS contre des entreprises russes, un nouveau botnet pourrait leur permettre de mener des « attaques incroyablement puissantes ». « Il s’agit d’une menace sérieuse pour toutes les organisations. « Il est presque impossible de se protéger contre de telles attaques et elles ne peuvent être combattues qu'en utilisant des services cloud dotés d'une capacité réseau de filtrage suffisante », explique-t-il.

Les experts affirment que la puissance des attaques DDoS en général augmente. Les joueurs nationaux et étrangers annoncent régulièrement de nouveaux records. Ainsi, en juillet, à la veille d'une recrudescence des attaques contre les banques russes, Rostelecom a annoncé avoir réussi à repousser une attaque avec un débit de 3 Tbit/s, et plus récemment, en octobre, l'américain Cloudflare (un service de diffusion de contenus, protection contre les attaques DDoS et Secure Access). ) a également signalé s'être protégé d'une attaque DDoS record avec une capacité de 3,8 Tbps.

"Nous constatons une croissance significative", a déclaré Dmitry Shmidt, ingénieur en chef du département de protection du réseau contre DDoS-Guard. — La semaine dernière, l'une des « perles » que nous avons réussi à extraire a atteint près de 2,5 Tbit/s. « L’Internet des objets se développe, l’infrastructure Internet mondiale se développe et avec elle le nombre de participants potentiels aux botnets. »

Dans le même temps, les octets par unité de temps ne sont plus la seule mesure du risque », déclare Danila Chezhin, directrice du développement chez Servicepipe. « Il ne s'agit pas seulement de pouvoirs formels, mais aussi de la vulnérabilité de certaines parties du site. Il explique où les attaquants attaquent, dans quelle mesure les botnets d'attaque imitent le trafic légitime et à quel point il est facile d'isoler et de neutraliser le trafic illégitime.

«C'est un point d'échec potentiellement grave», explique Dmitry Schmidt. Si votre hébergeur dispose d'une infrastructure assez distribuée, la rendre totalement inutilisable est une « tâche stellaire » (pratiquement impossible si vous utilisez une protection professionnelle). Il poursuit : « Cependant, si l'attaque entraîne des pannes de service, de nombreux clients ressentiront l'impact négatif de cette société d'hébergement. Il peut également arriver que l’hébergeur désactive lui-même les ressources attaquées. Tout dépend de leur propre politique. les entreprises disposent déjà d’une protection DDoS, de tels scénarios extrêmes sont donc rares.

Alexey Pashkov, chef du département WAF et Anti-DDoS chez Solar Group, a confirmé que des pirates informatiques attaquent les hébergeurs afin de désactiver et de rendre inutilisables de nombreux serveurs Internet. Selon lui, une puissance élevée est importante pour les attaques contre les hébergeurs, d'autant plus qu'il existe de larges canaux de communication avec les centres de données. Cela distingue ces attaques des attaques DDoS contre les clients B2B, comme celles du secteur bancaire, où les pirates attaquent les services Internet les plus critiques avec des attaques courtes et de faible puissance et modifient rapidement les vecteurs et les cibles d'attaque pour éloigner l'attaque d'un seul point critique. service. . À quelqu'un d'autre.

L'attaque de l'hébergeur confirme la tendance évoquée par MTS RED début octobre. Selon l'entreprise, entre juillet et septembre 2024, il y a eu une augmentation significative du nombre d'attaques DDoS contre les organisations informatiques, qui sont devenues la principale cible des attaquants. Au cours de la période considérée, MTS RED a repoussé « beaucoup plus » d'attaques DDoS contre les ressources Web des entreprises du secteur qu'au cours de la même période en 2023. Au troisième trimestre 2024, les prestataires de cybersécurité ont enregistré au total plus de 21 400 attaques, soit près de 10 fois plus qu’en juillet-septembre 2023.

Face à l'assaut toujours croissant de hackers organisant des attaques contre les ressources des organisations russes, certains acteurs réclament l'organisation des échanges d'informations entre les acteurs du marché. « En 2024, nous avons assisté à des attaques sans précédent contre le secteur financier et à l’émergence de puissants botnets capables de paralyser l’infrastructure même des plus grandes entreprises russes. Nous sommes donc convaincus qu’il est nécessaire d’unir nos forces pour lutter contre les attaques DDoS », déclare Danila Chezhin.

Tout d'abord, selon lui, il existe une interaction en temps réel entre les défenseurs des attaques DDoS, les opérateurs de télécommunications (qui fournissent également des services de protection DDoS, mais sont parfois également victimes d'attaques en tapis), les représentants des entreprises et peut-être eux-mêmes. lorsqu'ils sont victimes d'attaques en tapis, je crois qu'il est nécessaire d'établir un échange d'informations sur ces attaques. autorités de régulation. « Fournir des informations opportunes sur les détails de l'attaque pendant une attaque, plutôt qu'après qu'elle se soit produite, permet d'élaborer des mesures opportunes pour protéger les autres entreprises qui pourraient être ciblées par les attaquants, réduisant ainsi la probabilité de succès des attaques ultérieures. Je suis convaincu que de tels échanges réduiront le nombre d'attaques réussies et, à terme, augmenteront la sécurité des entreprises », conclut Chezhin.

Источник: Forbes Россия