Il caso di Hong Kong, vittima di attacchi DDoS anomali



[ZEUS News - www.zeusnews.it - 07-05-2017]

hong kong

Generalmente sono gli Stati Uniti l'obiettivo principale degli attacchi DDoS anche se, ultimamente, abbiamo assistito a qualche anomalia. Nelle due settimane del 6 e del 13 aprile, l'area di Hong Kong è stata quella maggiormente colpita da attacchi superiori ai 10 Gbps. Chi si occupa di sicurezza adora le anomalie: Arbor Networks ha pertanto deciso di analizzare gli attacchi DDoS diretti a Hong Kong nell'ultimo mese per capire se potesse emergere qualche dato significativo.

Frequenza e dimensione degli attacchi

Tra il 1° e l'8 aprile, Hong Kong è stata colpita da un numero di attacchi DDoS superiore alla norma, registrando la cifra record di 909 attacchi il 3 aprile. Nei primi otto giorni di aprile il numero degli attacchi è aumentato del 67% rispetto alla "norma" (in questo caso sono stati considerati i dati degli attacchi nei 29 giorni precedenti e nei 6 giorni successivi).

Tipi di attacchi

Tra gli attacchi diretti a Hong Kong tra il 1° e l'8 aprile, quelli di reflection/amplification basati su UDP e gli attacchi TCP SYN sono stati i più frequenti. Dei 6.827 attacchi segnalati, il 40% (2.723) forniva un protocollo e una porta sorgente. Di questi, il 32% (876) comprendeva una componente di reflection/amplification NTP (ad es. da UDP/123), il 17% (455) conteneva una componente di reflection/amplification SSDP (ad es. da UDP/1900), il 7% (184) una componente di reflection/amplification DNS e il 32% (879) prevedeva una componente TCP SYN.

Prospetto dei Paesi di origine

Chiaramente la geolocalizzazione deve essere considerata nell'ambito di un contesto adeguato, in particolare per gli attacchi spoofing come quelli di reflection/amplification basati su UDP. Nel caso di un attacco di reflection/amplification UDP, l'attaccante può trovarsi in qualsiasi località geografica e far partire (riflettere) l'attacco da server NTP, DNS, SSDP, ecc. Nel grafico a seguire si illustra il caso in cui un attaccante che si trova negli Stati Uniti lancia un attacco DDoS contro una vittima a Hong Kong usando server NTP situati in Cina.

EsempioDiAttacco

Tutte le vittime di Hong Kong avranno la percezione che il traffico provenga dalla Cina. Dobbiamo ricordare che Internet è una realtà globale e che gli attaccanti sfrutteranno qualsiasi risorsa disponibile a livello internazionale per attaccare.

Analisi del target

Il 15% (1.028) dei 6.827 attacchi segnalati contro Hong Kong tra il 1° e l'8 aprile contenevano indirizzi IP di destinazione non in forma anonima. Di questi, 330 erano unici. Nonostante le dimensioni contenute, questo campione ci consente di capire maggiormente l'obiettivo degli attacchi.

I target sono estremamente sparpagliati e comprendono oltre 500 domini differenti, per cui abbiamo analizzato quei domini i cui indirizzi IP ospitavano un solo dominio. Sono stati segnalati 94 casi di questo tipo e, tra questi, quasi la metà sono stati classificati come segue:

property

Mentre tutti i siti di scommesse online erano orientati al gioco d'azzardo, i siti di giochi online comprendevano il lotto e altri siti che prevedevano una componente finanziaria basata sui risultati di gioco.

Conclusione

Sappiamo che, a livello regionale, Hong Kong ha assistito a un aumento considerevole e costante del numero di attacchi DDoS nei primi otto giorni del mese di aprile 2017. La dimensione media degli attacchi non è aumentata, a differenza del numero di attacchi giornalieri. Sappiamo che gli attacchi sono stati prevalentemente misti, con una maggiore frequenza di attacchi di reflection/amplification UDP e di attacchi TCP SYN. Nonostante gli attacchi provenissero prevalentemente dalla Cina, quelli di reflection/amplification potrebbero essere stati lanciati da qualsiasi località.

Sondaggio
Come preferisci seguire gli aggiornamenti di Zeus News?
Apro Zeus News nel browser e vedo se ci sono novità
Sono iscritto alla newsletter
Sono abbonato ai feed RSS
Seguo le novità dal Forum dell'Olimpo Informatico
Seguo le novità da Twitter
Seguo le novità da Facebook
Tramite un altro sito che aggrega le notizie
In altro modo (suggeriscilo nei commenti!)

Mostra i risultati (6219 voti)
Leggi i commenti (13)

Considerando un piccolo campione (15%) di attacchi per cui gli indirizzi IP di destinazione non erano anonimi, riteniamo che gli attacchi fossero indirizzati a più organizzazioni dato che riguardavano centinaia di IP unici tra 52 differenti ASN colpendo, direttamente o indirettamente, 500 domini diversi. Analizzando un numero contenuto di attacchi single-tenant, sembra che il responsabile della minaccia avesse intenzione di colpire i siti di scommesse/giochi online in questo intervallo di tempo. Nonostante i fattori geopolitici siano spesso associati all'attività di livello nazionale, la comparsa di target eterogenei nell'ambito delle scommesse e dei giochi ci porta a pensare che l'estorsione DDoS rappresenti il motivo più probabile. Come accade spesso con gli attacchi DDoS, possono manifestarsi danni collaterali per i siti co-localizzati o quelli che accidentalmente si ritrovano "tra due fuochi".

Anomalie come queste, per cui determinate aree geografiche o mercati verticali all'interno di un settore diventano improvvisamente l'obiettivo di attacchi dopo lunghi periodi di relativo silenzio, rappresentano il motivo per cui le aziende dovrebbero adottare sempre le migliori pratiche per proteggere la propria infrastruttura, seguire i principi di diligenza e disporre di personale qualificato che conduca regolarmente giochi di guerra DDoS. Le organizzazioni preparate che utilizzano un IDMS (Intelligent DDoS Mitigation System), come Arbor TMS o APS, non dovrebbero avere problemi ad arginare questo genere di attacchi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
''Chi sbarca in Italia va via per non morire, va via perché c'hanno una guerra, un maremoto... come fai a fermarli? Bisogna creare delle strutture intelligenti, inserirli piano piano a fare delle cose perché sono gente straordinaria. E' un processo di cui non se ne può fare a meno. Arrivano, arrivano a riprendersi un pochino di quello che gli abbiamo tolto in 200 anni''. Chi è?
(Vedi poi la soluzione)
Uno che non considera prioritario lo Ius Soli per dare diritti di cittadinanza ai figli della "gente straordinaria" che arriva in Italia.
Uno che non vuole abolire il reato di clandestinità per non portare il suo partito a percentuali da prefisso telefonico.
Uno che ordina ai suoi parlamentari un voto contrario alla legge che ha abolito in Italia il reato penale di clandestinità.
Uno che ha messo come requisito indispensabile per l'appartenenza al suo partito politico la cittadinanza italiana.
Uno che da normale cittadino diceva pacatamente cose di buon senso ma una volta entrato nei meccanismi del potere è costretto a dire e fare minchiate per tenere insieme milioni di ignoranti e razzisti che toglierebbero il voto a proposte pacate e di buon senso.
Tutti quelli nominati finora.

Mostra i risultati (1216 voti)
Agosto 2020
Che cosa succede dentro a uno pneumatico quando si viaggia?
Chrome permetterà di modificare le password salvate
Red Hat: Non installate quella patch
Il dispositivo che assorda gli Amazon Echo
Luglio 2020
La vecchia raccolta di Cd e Dvd potrebbe essere in pericolo
5G: come eliminare il 90% delle emissioni
Bloatbox ripulisce Windows 10 dalle app indesiderate
Non coprite quella webcam
Falla nei caricabatterie: telefoni e tablet a rischio incendio
Windows 10, come aggirare il bug che segnala la mancanza di connessione
Windows 10 e l'aggiornamento che risolve tutti i bug
Razzismo: via i termini blacklist, master e slave dal kernel Linux
WindowsFX, la distribuzione Linux per chi vuole lasciare Windows 10
Come disinstallare il nuovo Edge da Windows 10
Iliad diventa operatore di rete fissa
Tutti gli Arretrati


web metrics