Tình hình tấn công DDoS Quý II/2018

16:30 | 18/09/2018

Tội phạm mạng đã không ngừng tìm kiếm các phương pháp khuếch đại phi tiêu chuẩn mới để thực hiện các cuộc tấn công DDoS.

Tình hình chung

Các chuyên gia của Kaspersky Lab sử dụng hệ thống DDoS Intelligence để thường xuyên theo dõi các hoạt động của botnet. Hệ thống DDoS Intelligence là một phần của giải pháp Kaspersky DDoS Protection (KDP), tự động thực hiện phân tích các lệnh được gửi tới các bot từ các máy chủ C&C.

Trong Quý II/2018, các chuyên gia đã phát hiện ra phương pháp tấn công sử dụng lỗ hổng trong giao thức Universal Plug and Play đã xuất hiện từ năm 2001. Phương pháp này cho phép lưu lượng rác được gửi từ nhiều cổng. Việc chuyển đổi giữa các cổng là ngẫu nhiên nên đã ngăn được quá trình chặn lưu lượng rác. Theo chuyên gia, phương pháp này có thể đã được sử dụng trong hai cuộc tấn công, vào ngày 11/4 và ngày 26/4/2018. Trong trường hợp đầu tiên, cuộc tấn công DNS đã được khuếch đại thông qua UPnP, và trong trường hợp thứ hai, điều tương tự đã được áp dụng cho một cuộc tấn công NTP. Ngoài ra, các chuyên gia đã quan sát một cuộc tấn công khai thác lỗ hổng trong giao thức CHARGEN.

Một trường hợp đáng chú ý trong Quý II là một botnet đã được hình thành từ 50.000 camera giám sát ở Nhật Bản. Công ty đường sắt của Đan Mạch cũng đã bị tấn công DDoS và phải mất vài ngày khắc phục mới có thể phục vụ hành khách. Cuộc tấn công này được cho rằng có động cơ chính trị và có thể là sự tiếp tục của cuộc tấn công vào cơ sở hạ tầng Thụy Điển vào mùa thu năm 2017.

Vào cuối tháng 4, Europol đã kiểm soát và vô hiệu hóa trang web Webstresser.org, dịch vụ cho thuê DDoS lớn nhất thế giới. Vào thời điểm bị chặn, nó đã có hơn 136.000 người dùng và đã phục vụ hơn 4 triệu vụ tấn công DDoS trong những năm gần đây. Sau khi Webstresser bị chặn thì các hoạt động tấn công DDoS ở châu Âu đã suy giảm đáng kể.

Các cuộc tấn công DDoS vào các thiết bị IoT của gia đình tuy khá đơn giản nhưng không có lợi nhuận, trong khi các cuộc tấn công vào các tập đoàn, doanh nghiệp lớn có lợi nhuận cao hơn nhưng phức tạp hơn. Các kế hoạch tấn công DDoS đã nhắm đến ngành công nghiệp và phát trực tiếp (streamer) trò chơi trực tuyến, trong đó có các giải đấu thể thao điện tử với giá trị giải thưởng lên đến hàng nghìn USD. Các máy chủ của ban tổ chức giải đấu cũng có thể trở thành mục tiêu tấn công DDoS. Với mối đe dọa làm gián đoạn giải đấu giúp tin tặc có thể thuyết phục các nhà tổ chức cuộc thi trả tiền chuộc. Tương tự, tội phạm mạng đang cố gắng kiếm tiền từ thị trường phát trực tiếp trò chơi điện tử tại nhiều quốc gia khác nhau.

Các số liệu tấn công DDoS trong Quý II/2018

Các chuyên gia có nhận xét, trong Quý II/2018, các tội phạm mạng tiếp tục xu hướng tìm kiếm các lỗ hổng an toàn thông tin mới trên các giao thức truyền tải UDP và dự đoán rằng, trong thời gian tới sẽ có thêm nhiều các phương pháp tấn công tinh vi khác góp phần vào khuếch đại tấn công DDoS. Thời gian xảy ra nhiều cuộc tấn công DDoS là vào đầu quý, đặc biệt là giữa tháng 4/2018, giảm mạnh từ cuối tháng 5 và tháng 6.

Vị trí hàng đầu về số lượng các cuộc tấn công DDoS trong Quý II/2018 thuộc về Trung Quốc chiếm tới 59,03% trong tổng số các cuộc tấng công, Hồng Kông (17,13%) ở vị trí thứ 2, đồng thời cũng nằm trong Top 3 có số lượng mục tiêu tấn công riêng biệt nhiều nhất với 12,88%, chỉ sau Trung Quốc (52,36%) và Mỹ (17,75%).

Trong Quý, hoạt động của botnet Windows giảm. Trong khi đó, botnet Linux đã tăng đáng kể số lượng các cuộc tấn công DDoS, chiếm 94,47% trong tổng số tất cả các cuộc tấn công. Tổng thời gian tấn công đã thay đổi rất ít kể từ quý trước, nhưng tỷ lệ tấn công với lượng thời gian trung bình tăng, trong khi tỷ lệ tấn công ngắn hơn giảm. Cường độ tấn công cũng tiếp tục tăng lên. Các mục tiêu sinh lợi nhất cho tội phạm mạng dường như là tiền mã hóa. Bên cạnh đó là các cuộc tấn công cấp cao chống lại các giải đấu thể thao điện tử, đòi tiền chuộc nhà tổ chức và người chơi cá nhân….

Phân bố địa lý của các cuộc tấn công

Dẫn đầu về số lượng các cuộc tấn công DDoS trong Quý II vẫn là Trung Quốc, với tỷ lệ thay đổi không đáng kể (59,03% so với 59,42% trong Quý I). Tuy nhiên, lần đầu tiên kể từ khi hãng Kaspersky bắt đầu theo dõi, thì Hồng Kông đã lọt vào Top 3, tăng từ thứ tư lên thứ hai: tỷ lệ tăng gần gấp năm lần, từ 3,67% lên 17,13%, đẩy Mỹ (12,46%) xuống vị trí thứ 3 và Hàn Quốc (3,21%) ở vị trí thứ 4. Malaysia đã xuất hiện trong Top 10 và đứng vị trí thứ 5, chiếm 1,30% tổng số vụ tấn công DDoS. Top 10 còn có Úc (1,17%), Canada (0,69%), Anh (0,50%), Việt Nam (0,50% - chiếm vị trí thứ 9) và Pháp (0,43%). Điều đáng chú ý là các quốc gia như Nhật Bản, Đức và Nga đã ra khỏi bảng xếp hạng tấn công DDoS của Quý II/2018.

10 nước đứng đầu cũng chiếm tỷ trọng 95,44% trong tổng số các vụ tấn công DDoS, giảm so với Quý I (96,44%).

Hình 1. Phân bố các cuộc tấn công DDoS theo quốc gia trong QI và QII/2018

Phân bố các mục tiêu riêng biệt theo lãnh thổ tương tự với sự phân bố số lượng các cuộc tấn công: Trung Quốc có tỷ trọng lớn nhất (52,36%), tăng 5% so với quý trước. Vị trí thứ 2 thuộc về Mỹ (17,5%) và thứ 3 là Hồng Kông (12,88%, tăng từ vị trí thứ 4) thay thế vị trí của Hàn Quốc (4,76%) (lưu ý rằng ở Hồng Kông mục tiêu phổ biến nhất hiện nay là máy chủ Microsoft Azure). Anh từ vị trí thứ 4 xuống thứ 8, chiếm 0,8% tổng các mục tiêu riêng biệt.

Nhật Bản và Đức đã rời khỏi Top 10, nhưng xuất hiện Malaysia (2,27%) ở vị trí thứ 5 và Úc (1,93%) ở vị trí thứ 6, tiếp đến là Canada (1,1%), Anh (0,80%), Việt Nam (0,64% - chiếm vị trí thứ 9) và Pháp (0,61%). 10 nước này chiếm 95,09% tổng số mục tiêu riêng biệt, giảm so với 94,17% trong Quý I.

Hình 2. Phân bố các mục tiêu tấn công DDoS riêng biệt theo địa lý trong QI và QII/2018

Phân bố tấn công DDoS theo loại

So với Quý I, tấn công botnet dựa trên Linux chiếm tỷ lệ nhiều hơn hẳn với 94,47% (QI là 66,49%); tấn công botnet dựa trên Windows giảm, chiếm 5,53% (QI là 33,51%).

Hình 3. Tương quan giữa các cuộc tấn công botnet dựa trên Windows và Linux trong QI và QII/2018

Phân bố địa lý của botnet

Hình 4. Phân bố máy chủ botnet C&C theo quốc gia trong QII/2018

10 khu vực hàng đầu có số lượng máy chủ botnet C&C đã có sự thay đổi đáng kể. Vị trí dẫn đầu thuộc về Mỹ chiếm với gần một nửa số máy chủ C&C (44,75% so với 29,32% trong QI). Hàn Quốc (11,05%) rơi xuống vị trí thứ 2. Tiếp theo, ở vị trí thứ 3 là Ý (8,84% so với 6,83%), ở vị trí thứ 4 là Trung Quốc cũng giảm đáng kể (từ 8,0% xuống 5,52%). Hồng Kông đã rời khỏi Top 10, trong khi đó Việt Nam lần đầu tiên xuất hiện từ khi Kaspersky bắt đầu theo dõi với 3,31, đứng vị trí thứ 7.