A koronavírus-járvány idején a kormány több ízben hivatkozott túlterheléses támadásra, amikor összeomlott egy-egy járványügyi vagy közigazgatási honlap, így a korábbinál több magyar hallhatott erről a támadási formáról. Korábban mi is kitértünk rá egy hosszabb cikkben, hogy pontosan mik is az ilyen típusú támadások jellemzői, miben különböznek attól, amikor rendeltetésszerű használat során omlanak össze weboldalak és szolgáltatások.
Terheléses támadásnak, azaz DDoS-nek (Distributed Denial of Service) nevezzük, amikor a támadók szánt szándékkal elérhetetlenné tesznek egy weboldalt vagy szolgáltatást a felhasználók számára. Egy ilyen támadást kivitelezni nem bonyolult: annyi kérést (lényegében oldalletöltést) kell küldeni a kiszemelt célpontnak, amennyit már nem tud kiszolgálni a weboldal mögötti infrastruktúra. Amennyiben ez bekövetkezik, megtörténik a szolgáltatás megtagadása, vagyis a Denial of Service – ilyenkor használhatatlanná és elérhetetlenné válik az adott weboldal.
Hogy valós forgalom vagy szándékos túlterheléses támadás bénított meg egy oldalt, még a szakértőknek is nehéz rögtön megállapítani – főleg nemzetközi oldal esetében, amit a világ minden tájáról felkereshetnek.
Léteznek olyan szolgáltatók is, amelyek kifejezetten túlterheléses támadás elleni védelmet nyújtanak, a legismertebb a Cloudflare. A szolgáltatás lényege, hogy egy weboldal (mondjuk valamilyen webshop) doménjére érkező kérések először a Cloudflare-re mennek, az ő szervereiken landolnak, így mindenféle ellenőrzést el tudnak rajtuk végezni. Többek közt azt, hogy a kérés milyen böngészőből, honnan érkezik, robot-e vagy valós forgalom. Amennyiben valós, akkor továbbítják a kérést, tehát egyfajta tűzfalként védik ki a robotokat, amivel nagyobb eséllyel megakadályozhatók a túlterheléses támadások.
Szolgáltatásként árulják
A Kaspersky biztonsági cég idei harmadik negyedéves jelentése szerint a DDoS-támadások száma csaknem 24 százalékkal nőtt az idén a tavalyi év ugyanezen időszakához viszonyítva, míg az okos támadások (vagyis a fejlett, sok esetben célzott DDoS-támadások) összesen 31 százalékos növekedést mutattak az előző év azonos időszakához képest. A Netscout adatai szerint pedig az idén csak januárban 972 ezer DDoS-támadást indítottak, ami több, mint amennyit korábban bármelyik hónapban regisztráltak.
Szöllősi Gábor IT-infrastruktúra szakértő korábban a 24.hu-nak elmondta: a feketepiacon már szinte szolgáltatásként, készen bérelhető egy túlterheléses támadás kivitelezéséhez szükséges rendszer. A megrendelőnek elég akár egy sima kattintgatós, felhasználóbarát felületen beírni a támadni kívánt címet, nem kell semmilyen technikai dologgal foglalkoznia, ha kifizeti érte a pénzt. Bizonyos esetekben nagyon nehéz utólag rekonstruálni, hogy a támadást kivitelező szerverek mögött valójában kik álltak, főleg mert az anonimitást megkönnyítik a különféle offshore bankkártyák, számlák. A támadások megnövekedett száma mögött húzódó egyik ok épp az lehet, hogy egyre könnyebb ilyen támadásokat már kész szolgáltatásokként elérni.
A felfutó tendenciára rásegített a világjárvány is. Tim Berghoff, a GDATA biztonsági cég szakértője azon a véleményen van, hogy sok tavalyi kibertámadás azért volt sikeres, mert kapkodva költöztek home office-ba a cégek. Azok a vállalatok, amelyek nem biztosították a hálózatuk biztonságos távoli elérését, ahol az alkalmazottak saját, nem frissített eszközökről kezdtek el dolgozni, gyakrabban váltak áldozatul támadásoknak. A járványhelyzetet jellemző bizonytalanságot kihasználva pedig a kiberbűnözők egyre több támadást indítottak.
A legdurvább támadások
A Kaspersky mellett a Cloudflare is elkészítette jelentését, miszerint 2021 harmadik negyedéve különösen zsúfolt időszak volt a DDoS-támadások szempontjából, és kiemelkedően durva esetekre is volt példa. Az orosz Yandex például szeptemberben közölte, hogy az őt ért augusztus-szeptember közt kivitelezett kibertámadás volt az internet eddig látott legnagyobb túlterheléses támadása (DDoS). A cég közleménye szerint az első támadási hullám augusztus elején érte el szervereiket, és szeptember ötödikén tetőzött. A legforgalmasabb időszakban másodpercenként 22 millió lekérés érte el a szervereiket, így borítékolható volt annak megbénulása. Korábban a Cloudflare-t ért támadásé volt a rekord, a DNS-szolgáltatót a csúcsidőszakokban másodpercenként 17,2 millió lekérés bombázta.
Októberben érkezett a hír egy újabb gignatikus támadásról: a Microsoft jelentette, hogy az Azure felhőszolgáltatását használó egyik európai ügyfelének a rendszerét próbálták megbénítani kiberbűnözők. A cég közleménye szerint a tíz percig tartó támadás csúcsán másodpercenként 2,4 terabitnyi adattal bombázták ügyfelüket. Igaz, ez még nem érte el az eddigi rekordot, amit a Google védett ki még 2017-ben, az egy 2,54 terabit/másodperces támadás volt.
A Yandexet ért támadás kivitelezéséhez az idén felfedezett Meris bothálózatot használták fel, ahogy az elmúlt év során több nagyszabású túlterheléses támadáshoz is. A Meris lettül „dögvészt” jelent, és a nevét arról kapta, hogy a lett MikroTik gyártó RouterOS operációs rendszer sérülékenységén keresztül toborozza a sebezhető routereket és hálózati eszközöket.
A Meris a 2016-ban felfedeztt Miraihoz hasonló erőteljes botnet. Míg a Mirai-t viszonylag kis számítási kapacitással bíró IoT-eszközökből, például okoskamerákból állították össze, addig a Meris hálózatiinfrastruktúra-elemeket (routereket, switcheket) is tartalmaz, amik jelentősen erősebbek és az adatátviteli képességeik is jobbak, mint az IoT-kütyüknek, tehát elméletileg potenciálisan nagyobb kárt lehet velük okozni nagyobb kiterjedtségben. A valóság erre mondjuk rácáfolt, hiszen a Meris nem tudott számottevő kimaradást okozni, míg a Mirai 2016-ban elég nagy fennforgást idézett elő – írja a Cloudflare.
Jó hír viszont, hogy az idén – egy nemzetközi összefogás eredményeképpen – az illetékes hatóságok megszakították az elmúlt évtizedben kibertámadások elkövetésére leggyakrabban használt, Emotet nevű malware moduláris banki trójai programon alapuló zombihálózat irányítását. A botnet hálózatot az alvilági csatornákon keresztül bárki kibérelhette és használhatta, de az Europol átfogó hadműveletének köszönhetően sikerült hatástalanítani az infrastruktúráját. Az elmúlt évek során ez a zombihálózat rengeteg kárt okozott. A rossz hír, hogy szakértők arra utaló jeleket találtak novemberben, hogy az Emotet ismét éledezhet.
Erős politikai motivációk
A harmadik negyedév jelentős DDoS trendjei között számos politikai indíttatású támadás volt megfigyelhető Európában és Ázsiában, valamint játékfejlesztők elleni támadások is előfordultak. Emellett a támadók a pandémia leküzdését szolgáló eszközöket vettek célba több országban is, valamint számos zsarolóvírusos támadás történt kanadai, egyesült államokbeli és egyesült királyságbéli telekommunikációs cégek ellen. A támadók a hírhedt zsarolóvírussal támadó csoport, a REvil tagjaként léptek fel, és leállították a vállalatok szervereit, hogy így gyakoroljanak nyomást a vezetőségre a váltságdíj kifizetéséhez. A Cloudflare szintén arról ír jelentésében, hogy a harmadik negyedév legnépszerűbb célpontjai a játék- és techipar szereplői voltak.
A Kaspersky kutatói egy rendkívül szokatlan DDoS-támadást is megfigyeltek, amely egy állami egyetem ellen irányult, és több napig tartott. Bár az oktatási erőforrások elleni támadások egyáltalán nem szokatlanok, ez a támadás különösen kifinomult volt. A támadók az egyetemre jelentkezők online fiókjaira vadásztak, és olyan támadási vektor választottak, amely teljesen elérhetetlenné tette az erőforrást. A támadás még a szűrés megkezdése után is folytatódott, ami ritkán fordul elő.
Az elmúlt néhány évben megfigyelhettük, hogy a kriptobányász és a DDoS-támadásokat végrehajtó csoportok versenyeznek az erőforrásokért, ugyanis sok DDoS-támadáshoz használható botnet kriptobányászatra is használható. Bár korábban a kriptovaluták értékének növekedésével párhuzamosan visszaesést láttunk a DDoS-támadások számában, most erőforrás-újraelosztásnak lehetünk tanúi. A DDoS-erőforrások igen keresettek, a támadások pedig jövedelmezőek. Várakozásaink szerint a DDoS-támadások száma a negyedik negyedévben még tovább nő majd, főképpen azért, mert az eddigi megfigyeléseink szerint a DDoS-támadások mennyisége mindig különösen magasra szökik az év végén
– fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
A harmadik negyedévben a legtöbb támadást Kínában, az Egyesült Államokban, valamint Indiában lévő szerverekről indították. Kína ráadásul nemcsak a toplistát vezeti, de megfigyelhető, hogy az előző negyedévhez képest 30 százalékkal több forgalom indult az országból, a növekedés tehát számottevő.
De a magyar média sem maradt ki a sorból: lapunkat például az ellenzéki előválasztás eredményeinek kihirdetése idején érte el támadás.