OVHcloud, un furnizor global de servicii cloud și unul dintre cei mai mari de acest gen din Europa, spune că a gestionat un atac distribuit de tip denial of service (DDoS) record mai devreme în acest an, care a atins o rată fără precedent de 840 de milioane de pachete pe secundă (Mpps).
Compania raportează că a observat o tendință generală de creștere a dimensiunilor atacurilor începând cu anul 2023, cele care depășesc 1 Tbps devenind mai frecvente și escalând până la producerea lor săptămânal și aproape zilnic în 2024.
Mai multe atacuri au menținut rate ridicate de biți și pachete pe perioade prelungite în ultimele 18 luni, cu cea mai mare rată de biți înregistrată de OVHcloud în acea perioadă fiind de 2,5 Tbps la 25 mai 2024.
Analizând unele dintre acele atacuri, s-a descoperit utilizarea extensivă a dispozitivelor de rețea de bază, în special modelele Mikrotik, făcând atacurile mai impactante și mai dificil de detectat și oprit.
Mai devreme în acest an, OVHcloud a trebuit să gestioneze un atac masiv de tip rate de pachete care a atins 840 Mpps, depășind deținătorul precedent al recordului, un atac DDoS de 809 Mpps îndreptat împotriva unei bănci europene, pe care Akamai l-a gestionat în iunie 2020.
„Infrastructura noastră a trebuit să gestioneze mai multe atacuri de peste 500 Mpps la începutul anului 2024, inclusiv unul care a atins cotă maximă la 620 Mpps”, explică OVHcloud.
„În aprilie 2024, chiar am gestionat un atac DDoS record ajungând la ~840 Mpps, puțin peste recordul anterior raportat de Akamai”.
Furnizorul de servicii cloud a remarcat că atacul de tip TCP ACK a pornit de la 5.000 de adrese IP sursă. Două treimi din pachete au fost rutate printr-un număr de doar patru puncte de prezență (PoP), toate în Statele Unite și trei pe coasta de vest.
Capacitatea atacatorului de a concentra acest trafic masiv printr-un spectru relativ îngust al infrastructurii de internet face aceste încercări de tip DDoS mai formidabile și mai dificile de gestionat.
OVHcloud spune că multe dintre atacurile cu rate ridicate de pachete înregistrate, inclusiv atacul record din aprilie, au originea în dispozitivele compromis MirkoTik Cloud Core Router (CCR) concepute pentru rețele de înaltă performanță.
Firma a identificat, în mod specific, modelele compromise CCR1036-8G-2S+ și CCR1072-1G-8S+, care sunt folosite ca nuclee de rețea de dimensiuni mici până la medii.
Multe dintre aceste dispozitive își expun interfața online, rulează firmware-uri învechite și devin astfel susceptibile la atacuri care exploatează vulnerabilități cunoscute.
Firma de cloud presupune că atacatorii ar putea folosi funcția „Bandwidth Test” a RouterOS-ului MikroTik, concepută pentru testarea stresului de throughput al rețelei, pentru a genera rate ridicate de pachete.
OVHcloud a descoperit aproape 100.000 de dispozitive Mikrotik care pot fi accesate/exploatate pe internet, reprezentând multe ținte potențiale pentru actorii DDoS.
Datorită puterii mari de procesare a dispozitivelor MikroTik, care includ procesoare cu 36 de nuclee, chiar dacă un procent mic dintre acele 100.000 ar fi compromise, s-ar putea rezulta un botnet capabil să genereze miliarde de pachete pe secundă.
OVHcloud a calculat că preluarea controlului a 1% din modelele expuse într-un botnet ar putea oferi atacatorilor suficientă putere de foc pentru a lansa atacuri, atingând 2,28 miliarde de pachete pe secundă (Gpps).
Dispozitivele MikroTik au fost folosite pentru a construi botneturi puternice și în trecut, un caz remarcabil fiind botnetul Mēris.
În ciuda avertismentelor multiple ale producătorului către utilizatori să-și actualizeze RouterOS-ul la o versiune sigură, multe dispozitive au rămas vulnerabile la atacuri timp de luni, riscul de a fi înscrise în roiuri DDoS fiind unul real.
OVHcloud spune că a informat MikroTik despre cele mai recente descoperiri, dar nu au primit încă un răspuns.
Leave a Reply