Tấn công DDoS năm 2016 và xu hướng 2017

10:32 | 19/07/2017

Năm 2016, các cuộc tấn công DDoS có sự tăng trưởng về quy mô và tác động sâu sắc đến hoạt động sản xuất, kinh doanh của các tổ chức/doanh nghiệp. Đến cuối năm 2016, tin tặc đã gia tăng sử dụng botnet Mirai tấn công vào các thiết bị IoT. Trên cơ sở phân tích những dữ liệu theo dõi tự động và thực tế diễn ra trong không gian mạng đầu năm nay, các chuyên gia nhận định tấn công DDoS sẽ gia tăng mạnh trong năm 2017.

Tấn công DDoS cuối năm 2016 và đầu Quý 1/2017

Theo nguồn từ Kasperky Lab, Quý 4/2016, các cuộc tấn công DDoS mở rộng phạm vi đến 80 quốc gia trên thế giới. Trong đó, Trung Quốc vẫn là nước dẫn đầu về số lượng bị các cuộc tấn công DDoS, chiếm 76,97% (tăng 4,4 % so với quý 3/2016). Mỹ (7,3%) và Hàn Quốc (7%) tiếp tục đứng thứ hai và thứ ba tương ứng. Việt Nam xếp ở vị trí thứ 8, các cuộc tấn công DDoS vào các hệ thống CNTT-VT chiếm 0,72%, tăng hơn 0,3% so với Quý 3/2016.

Các cuộc tấn công DDoS có chủ đích tại 10 quốc gia ở vị trí dẫn  đầu chiếm đến 96,9% trong tổng số. Trong đó, Canada lần đầu tiên xuất hiện trong bảng xếp hạng, chiếm 0,8% - thay thế vị trí của Italy. Nga chiếm 1,75% đứng thứ tư, thay thế vị trí của Việt Nam (chiếm 0,42% - giảm 0,6%).


Phân bổ các cuộc tấn công theo các quốc gia và khu vực trong Quý 4/2016

Trong Quý 4/2016, số lượng các máy chủ kiểm soát và điều khiển các loại botnet đã được phát hiện nhiều nhất tại Hàn Quốc, chiếm 59,06% tổng số các máy chủ C&C bị phát hiện (tăng 13,3% so với Quý 3/2016, giảm hơn 10% so với Quý 2/2016 - 69,6%). Ba quốc gia bị phát hiện các máy chủ C&C nhiều nhất vẫn không thay đổi là Hàn Quốc, Trung Quốc (8,72%) và Mỹ (8,39%); Tổng cộng chiếm 76,1% trong tổng số máy chủ C&C bị phát hiện và mức tăng trưởng là 8,4 % so với Quý 3/2016.

Quý 4/2016, 3 quốc gia Tây Âu vẫn nằm trong Top 10 có máy chủ C&C bị phát hiện là Hà Lan (7,4%), Anh (1,3%), Pháp (1,7%); 2 nước mới được phát hiện có lưu trữ các máy chủ C&C là Bulgaria (6%) và Nhật Bản (1,3%). 


Phân bổ các cuộc tấn công DDoS có chủ đích trong Quý 4/2016

Phân tích từ các chuyên gia cho biết, từ cuối năm 2016 đến đầu Quý 1/2017, các cuộc tấn công DDoS ngày càng gia tăng về quy mô và diện bao phủ. Khách hàng đã không thể tiếp cận được các trang web lớn  như GitHub, Twitter, Reddit, Netflix, Airbnb… khi các trang này bị tấn công DDoS. Các cuộc tấn công DDoS đã làm ngưng trệ hoạt động trong nhiều giờ hệ thống cơ sở hạ tầng tên miền Dyn của hãng Deutsche Telekom, các nhà cung cấp dịch vụ Internet (ISP) tại Ireland, Anh và Liberia; các ngân hàng tại Nga; các dịch vụ tài chính như các giao dịch Bitcoin và các nền tảng blockchain CoinSecure của Ấn Độ và BTC-e của Bulgaria…. Điều đặc biệt được các chuyên gia lưu ý là mã độc Mirai đã được cài đặt trên hàng trăm ngàn thiết bị IoT trên phạm vi toàn thế giới. 


Phân bổ các máy chủ kiểm soát và điều khiển (C&C) các loại botnet Quý 4/2016

Xu hướng tấn công DDoS năm 2017

Vào ngày 11/1/2017, giới truyền thông đưa tin, ngân hàng Lloyds Bank có trụ sở tại Anh cũng đã bị tấn công DDoS. Cuộc tấn công này kéo dài trong hai ngày đó đã làm gián đoạn các dịch vụ như kiểm tra số dư, thanh toán trực tuyến của một số khách hàng.

Ngày 7/2/2017, trang http://www.silicon.co.uk đưa tin, trang web của quốc hội Áo nghi ngờ đã bị tấn công vào cuối tuần đầu tháng 2/2017, làm người dùng không thể truy cập được trong khoảng 20 phút. Các tin tặc được cho là đã sử dụng một cuộc tấn công DDoS để làm tràn dịch vụ của trang web. Mặc dù không có dữ liệu nào bị mất, song các nhà chức trách Áo vẫn tiến hành điều tra vụ tấn công này. Tuyên bố từ Quốc hội Áo cho biết, cuộc tấn trên tương tự như cuộc tấn công nhằm vào các trang web của Bộ Ngoại giao và Bộ Quốc phòng Áo đã diễn ra vào tháng 11/2016.

Ngày 13/4/2017, Hệ thống DNS của Melbourne IT, Australia được xác định  “rơi vào tình trạng gián đoạn lớn”. Công ty đăng ký tên miền Melbourne IT và các công ty con Netregistry và TPP Wholesale đã đổ lỗi cho một cuộc tấn công DDoS ảnh hưởng đến các dịch vụ DNS, làm cho các khách hàng không thể truy cập vào trang web trong một buổi sáng. Công ty này cho biết, số lượng khách hàng của họ lên tới 500.000 và đây là nhà đăng ký tên miền lớn nhất của Australia…. 

Các chuyên gia dự báo, các cuộc tấn công DDoS vẫn là công cụ phổ biến để tội phạm mạng làm tê liệt các doanh nghiệp/tổ chức hoạt động trực tuyến và đang lan rộng phạm vi trên toàn thế giới. Điều này được minh chứng bởi sự phân bổ các cuộc tấn công theo khu vực, các cuộc tấn công có chủ đích; việc xuất hiện các máy chủ kiểm soát và điều khiển các mạng botnet ở các vùng “mới” trong bản đồ an toàn thông tin mạng. Những đối tượng bị tấn công DDoS với những mã độc quen thuộc vẫn bao gồm các trang mạng như là DNS, NTP (Network Time Protocol - Giao thức đồng bộ thời gian mạng),  RIP, SSDP, LDAP….  

Botnet dựa trên các thiết bị IoT sẽ tiếp tục phát triển. Điều này phần lớn là do các thiết bị IoT tăng trưởng nhanh và việc bảo đảm an toàn là khá mới lạ đối với hầu hết người dùng, tội phạm mạng biết điều đó và khai thác tối đa điểm yếu của các thiết bị này cho mục đích tấn công mạng. Ngay cả khi giả định rằng tất cả các thiết bị IoT mới gia nhập thị trường có các giải pháp bảo mật, thì những lỗ hổng an toàn của thiết bị IoT vẫn dễ tạo ra các cuộc tấn công mạng quy mô lớn trong năm 2017.

Bên cạnh đó, các cuộc tấn công lên công cụ WordPress Pingback cũng ngày càng gia tăng do tính phổ biến của ứng dụng. Mặc dù các lỗ hổng trong các phiên bản mới hơn đã được vá bởi nhà phát triển song người dùng vẫn không thể lường hết hậu quả khi nhà cung cấp chỉ sử dụng các giải pháp mã hóa tối thiểu, chi phí thấp, nhúng trong ứng dụng WordPress CMS.