‘DDoS-For-Hire’ Đang Kích Thích Một Đợt Tấn Công Mới

Nếu ai đó muốn làm phiền một trang web hoặc dịch vụ trực tuyến—hoặc hoàn toàn làm nó sập—phương thức phổ biến là tấn công nó bằng một lượng lớn lưu lượng rác hoặc yêu cầu giả mạo. Các cuộc tấn công phủ định dịch vụ phân tán, được gọi là DDoS, đã là một hiện thực trên internet từ nhiều năm nay. Nhưng làn sóng chiến dịch lớn gần đây đã nâng cao nguy cơ của những chuyên gia quân sự DDoS ngày càng tăng cường tấn công theo yêu cầu của người trả giá cao nhất.

Vào thứ Tư, công ty an ninh mạng Trend Micro công bố các phát hiện về các cuộc chiến tranh lãnh thổ toàn cầu đang leo thang giữa các nhóm tấn công cạnh tranh để kiểm soát các bộ định tuyến và thiết bị yếu đuối khác. Mục tiêu của họ: cung cấp năng lượng cho các botnet có thể điều hướng một lưu lượng hoặc yêu cầu xấu tính để thực hiện các cuộc tấn công DDoS. Những tranh chấp lãnh thổ như vậy là đặc điểm của các botnet, nhưng những kẻ tấn công ngày càng được động viên để phát triển đội quân xác sống của họ không phải vì mục đích của họ, mà là để phục vụ những kế hoạch "DDoS cho thuê" chuyên nghiệp và sinh lời.

"Bốn hoặc năm năm trước, những kẻ tấn công chỉ làm sao có thể xâm phạm nhiều bộ định tuyến nhất có thể," nói Robert McArdle, giám đốc nghiên cứu mối đe dọa hướng tới tại Trend Micro. "Nếu họ có thể có được 1.000 họ sẽ hạnh phúc, nếu họ có thể có được 10.000 họ sẽ hạnh phúc hơn. Bây giờ khi bạn bắt đầu nghĩ về nó như một doanh nghiệp, những con số tăng trưởng đó. Họ đang nghĩ về mức doanh nghiệp hơn. Đó là một thay đổi quan trọng."

Một thách thức của nghiên cứu DDoS là có cái nhìn chi tiết về số lượng thiết bị IoT bị nhiễm malware botnet. Khác với máy tính Windows chẳng hạn, hầu hết các thiết bị IoT cấp tiêu dùng như bộ định tuyến không chạy bất kỳ loại phần mềm giám sát nào cung cấp khả năng nhìn thấy. Ngay cả các mạng doanh nghiệp được trang bị đầy đủ cũng không phải lúc nào cũng mở rộng bảo vệ của họ cho mọi thiết bị IoT, để lại một số thiết bị tiềm ẩn chống lại cuộc tấn công.

Nói chung, hoạt động DDoS có vẻ ổn định trong những tháng đầu năm 2020. Từ ngày 11 tháng 11 năm 2019 đến ngày 11 tháng 3 năm nay, công ty hiệu suất mạng Netscout quan sát trung bình khoảng 735.000 cuộc tấn công DDoS mỗi tháng. Nhưng từ ngày 11 tháng 3 đến ngày 11 tháng 4 năm 2020, nhóm quan sát hơn 864.000 cuộc tấn công, con số lớn nhất mà Netscout từng thấy trong một chu kỳ 31 ngày, tăng 17% so với bình thường.

Những cuộc tấn công này đáng chú ý không chỉ về tần suất mà còn về kích thước của chúng, được đo lường bằng terabit mỗi giây hoặc gói tin mỗi giây. Amazon Web Services cho biết trong một báo cáo gần đây rằng họ đã thành công trong việc ngăn chặn một cuộc tấn công ấn tượng kéo dài ba ngày vào giữa tháng 2 đối với một trong các khách hàng của họ, đỉnh điểm ở mức 2.3 terabit mỗi giây—lớn hơn 44% so với bất kỳ cuộc tấn công DDoS tương tự nào trước đó được phát hiện trên cơ sở hạ tầng của AWS. Cả hai công ty cơ sở hạ tầng internet Akamai và Cloudflare đều đánh lại cuộc tấn công giữa ngày 18 và ngày 21 tháng 6 với đỉnh điểm ở mức 754 triệu gói tin mỗi giây cho Cloudflare và con số kỷ lục 809 triệu gói tin mỗi giây cho Akamai.

Mặc dù động cơ của hai cuộc tấn công này không xác định, cả hai công ty đều nói rằng họ không thấy bằng chứng cho thấy những cuộc tấn công này là cố gắng tống tiền—một chiến lược kiếm tiền mà DDoSers đôi khi thử nghiệm trong thập kỷ 2010. Điều này có thể có nghĩa là những cuộc tấn công có động cơ theo tư tưởng, thậm chí đến từ các dịch vụ DDoS-for-hire. Bất kể nguồn gốc của chúng, các nhà nghiên cứu TrendMicro nói rằng DDoS-for-hire nói chung đang leo thang, và những kẻ tấn công đang dốc rất nhiều công sức để đột nhập vào các bộ định tuyến tiêu dùng để có thêm sức mạnh DDoS.

"Điều quan trọng không phải là người tấn công đã nâng cấp mã nguồn botnet có sẵn, mà là bây giờ họ đã tìm ra cách kiếm tiền từ những cuộc tấn công này," nói David Sancho, một nhà nghiên cứu đe dọa hàng đầu tại Trend Micro. "Và giá để tham gia quá thấp đến nỗi nó đang thúc đẩy thêm và thêm cuộc tấn công."

Ngoài việc xảy ra trong vòng vài ngày liên tiếp, cả hai cuộc tấn công của Akamai và Cloudflare đều tập trung vào việc áp đảo ứng dụng và phần cứng mạng với một lũ dữ liệu truyền thông mạng. Loại cuộc tấn công DDoS này không liên quan đến việc gửi một lượng lớn dữ liệu rác; Cloudflare cho biết cuộc tấn công mà họ đối mặt đạt 250 gigabit mỗi giây, xa lạ từ một cuộc tấn công đáng chú ý ở mặt đó. Nhưng tỷ lệ gói tin không bình thường cao chung qua cả hai cuộc tấn công có thể gây thiệt hại không kém—những gì Cloudflare gọi là "một đàn muỗi hàng triệu mà bạn cần phải tận diệt từng con một."

"Hơn 50% trong tổng số 809 triệu gói tin mỗi giây đó đến từ DVR cấp doanh nghiệp," nói Roger Barranco, Phó chủ tịch Quản lý toàn cầu về An ninh của Akamai. "Điều mới là khái niệm về chiến dịch. Chúng ta quay lại một vài năm và 'tấn công' là từ đúng để sử dụng. Có nhiều cuộc tấn công mỗi ngày, nhưng theo ý kiến của tôi, chúng không phải là hướng chiến dịch. Một số cuộc tấn công gần đây của chúng tôi hướng tới chiến dịch, trong đó kẻ tấn công đang làm việc một cách điều hòa trong thời gian dài."

DVR cấp doanh nghiệp, thường được sử dụng để ghi lại hình ảnh camera an ninh, là loại thiết bị có thể dễ dàng bị bỏ qua bởi các hệ thống phòng thủ IT doanh nghiệp tập trung hơn vào các thành phần quan trọng như bộ định tuyến và tường lửa cao cấp. Nhóm nghiên cứu Trend Micro nói rằng trong khi họ đặc biệt tập trung vào việc tăng cường nhận thức về việc xử lý với các bộ định tuyến tiêu dùng không được bảo vệ, các nhóm DDoS hiện đại hơn và chuyên nghiệp hơn bao giờ hết sẽ tận dụng bất kỳ thiết bị có lỗ hổng nào mà họ có thể tìm thấy.

"Hiện tại họ đang nhắm đến những mục tiêu rất, rất dễ," David Sancho của Trend Micro nói. "Điều mà tôi nghĩ là khả năng nhất là họ sẽ phát triển kế hoạch kinh doanh tốt hơn để kiếm tiền từ những bộ định tuyến bị nhiễm bệnh đó và thương mại hóa chúng. Sau đó, chúng ta sẽ thấy thêm nhiều người cố gắng tấn công hơn, điều đó sẽ làm trầm trọng thêm vấn đề tổng thể."

Khi DDoS-for-hire trở nên ngày càng lợi nhuận, đặc biệt là do sự tăng cường của khách hàng trong thế giới trò chơi trực tuyến, kẻ tấn công sẽ tiếp tục xung đột với số lượng có hạn của các thiết bị có lỗ hổng mà họ có thể thu vào botnets của họ. Chìa khóa cho các mục tiêu tiềm năng là chuẩn bị cho bất kỳ loại tấn công DDoS nào đến, và tránh bị mê hoặc bởi âm thanh không ngừng.

"Nếu bạn nghĩ về rác thư điện tử, nó vẫn tồn tại, nhưng chúng ta thực sự không bận tâm nhiều, vì tất cả đều vào thư mục rác," nói John Graham-Cumming, Giám đốc Công nghệ của Cloudflare. "Điều tương tự cũng đúng với DDoS. Nếu bạn có một dịch vụ phòng thủ DDoS, của chúng tôi và những người khác, chúng tôi sẽ lọc ra những cuộc tấn công DDoS xảy ra liên tục. Xử lý chúng, đặc biệt là các cuộc tấn công lớn về gói tin mỗi giây, là điều thú vị từ quan điểm của chúng tôi, nhưng đó chỉ là một cuộc tấn công khác. Không bao giờ có khoảnh khắc yên tĩnh nào."

• Đằng sau song sắt, nhưng vẫn đăng trên TikTok
• Bạn của tôi bị mắc bệnh ALS. Để chống lại, anh ấy xây dựng một phong trào
• Deepfakes đang trở thành công cụ đào tạo doanh nghiệp mới nóng
• Hoa Kỳ có một sự ám ảnh với các cuộc thăm dò ý kiến về Covid-19
• Người nào đã phát hiện ra vắc xin đầu tiên?
• 👁 Nếu thực hiện đúng, trí tuệ nhân tạo có thể làm cho cảnh sát trở nên công bằng hơn. Ngoài ra: Đọc tin tức AI mới nhất của chúng tôi
• 📱 Lưỡi bò giữa những chiếc điện thoại mới nhất? Đừng lo lắng—kiểm tra hướng dẫn mua iPhone của chúng tôi và điện thoại Android yêu thích nhất của chúng tôi