Selon le rapport d’Akamai, les hackers changent de tactiques pour créer, déployer et dissimuler des botnets puissants. Le pic de trafic des attaques DDoS a progressé de... 241 % comparativement au 2e trimestre 2013.
Akamai publiait mardi le rapport du 2ème trimestre 2014 sur les attaques DDoS, via sa filiale Prolexic Technologies. Elle élabore ce rapport trimestriel sur les attaques DDoS dans le monde depuis 2011.
Lorsqu’une personne malveillante utilise un réseau de botnet, il cible en premier lieu les vendeurs de PaaS (Platform-as-a-Service) et de SaaS (Software-as-a-Service) qui utilisent des services contenant des vulnérabilités connues, telles que certaines versions d’Apache, de MySQL ou de PHP. La faille peut également provenir du système d’exploitation, comme certaines failles connues sous Linux et Microsoft Server. Enfin, il s’attaque également à des versions de CMS (Content Management System), comme Wordpress, Joomla et les plug-in associés.
Alors que l’utilisation de botnets a augmenté, le botnet itsoknoproblembro (bRobot), qui repose lui aussi sur l’infection de serveurs, reste une menace. En effet, les attaques déclenchées au 2ème trimestre laissent à penser qu’il n’a finalement pas été supprimé suite à l’opération Ababil visant les institutions financières en 2011-2013, mais subtilement conservé.
Les attaques par réflexion et par amplification ont été plus fréquentes qu’au 2ème trimestre 2013 et qu’au dernier trimestre 2014, représentant plus de 15 % de l’ensemble des attaques d’infrastructure. Elles mettent à profit les fonctionnalités de protocoles Internet et de serveurs communs mal configurés. Si les attaques par réflexion NTP ont nettement diminué au 2ème trimestre 2014, probablement en raison d’un « nettoyage » communautaire, les attaques par réflexion SNMP se sont envolées sur la même période,
Quelques faits marquants :
Par rapport au 2ème trimestre 2013
- Nombre total d’attaques DDoS en progression de 22 %
- Débit moyen des attaques en hausse de 72 %
- Attaques d’infrastructure (couches 3 et 4) en progression de 46 %
- Durée moyenne des attaques en recul de 54 % (de 38 à 17 heures)
- Pic de trafic en hausse de 241 %
Par rapport au 1er trimestre 2014
- Nombre total d’attaques DDoS en recul de 0,2 %
- Débit moyen des attaques en recul de 14 %
- Attaques applicatives (couche 7) en baisse de 15 %
- Durée moyenne des attaques en recul de 0,2 %, (de 17,38 à 17,35 heures)
- Pic de trafic en recul de 36 %
Analyse et évolutions nouvelles
Les attaques faisant intervenir des botnets ont uniquement été observées par Akamai dans des campagnes DDoS extrêmement sophistiquées et soigneusement orchestrées. Ces attaques d’infrastructure massives comportaient des signatures qui semblent avoir été spécialement élaborées pour éviter toute détection par des technologies de neutralisation DDoS. Compte tenu de l’efficacité de ces attaques, et de la grande disponibilité de logiciels vulnérables dans le cloud, il est probable qu’elles se poursuivent. Elles représentent, potentiellement, une grave menace pour les entreprises et les administrations.