L’azienda francese di cloud computing OVHcloud ha dichiarato di aver mitigato un attacco DDoS (Distributed Denial-of-Service) da record nell’aprile 2024, che ha raggiunto un tasso di pacchetti di 840 milioni di pacchetti al secondo (Mpps).
Questo attacco subito da OVHCloud ha di fatto battuto il precedente record di 809 milioni di Mpps riportato da Akamai, che ha preso di mira una grande banca europea nel giugno 2020.
L’attacco DDOS subito da OVHCloud
Si ritiene che l’attacco DDoS di 840 Mpp subito da OVHCloud possa essere una combinazione di un’inondazione di pacchetti TCP ACK provenienti da 5.000 IP sorgente e un attacco di riflessione DNS che ha sfruttato circa 15.000 server DNS per amplificare il traffico.
“Sebbene l’attacco fosse distribuito a livello mondiale, 2/3 del totale dei pacchetti sono entrati solo da quattro punti di presenza, tutti situati negli Stati Uniti, con 3 di essi sulla costa occidentale“, ha osservato l’azienda francese OVHcloud, aggiungendo: “Questo evidenzia la capacità dell’avversario di inviare un enorme tasso di pacchetti attraverso solo pochi peering, il che può risultare molto problematico.”
L’azienda francese ha dichiarato di aver osservato un significativo aumento degli attacchi DDoS sia in termini di frequenza che di intensità a partire dal 2023, aggiungendo che quelli che raggiungono oltre 1 terabit per secondo (Tbps) sono diventati un evento regolare.
“Negli ultimi 18 mesi, siamo passati da attacchi da oltre 1 Tbps piuttosto rari, a settimanali, fino a quasi quotidiani (in media su una settimana)“, ha detto Sebastien Meriot di OVHcloud. “Il tasso di bit più alto che abbiamo osservato durante quel periodo è stato di circa 2,5 Tbps.”
L’attacco a OVHCloud? È un attacco DDoS con alcune particolarità
A differenza degli attacchi DDoS tipici che si basano sull’invio di una marea di traffico spazzatura ai bersagli con l’obiettivo di esaurire la larghezza di banda disponibile, gli attacchi basati sul tasso di pacchetti funzionano sovraccaricando i motori di elaborazione dei pacchetti dei dispositivi di rete vicini alla destinazione, come i bilanciatori di carico.
I dati raccolti dall’azienda mostrano che gli attacchi DDoS che sfruttano tassi di pacchetti superiori a 100 Mpps hanno registrato un forte aumento nello stesso periodo, con molti di essi provenienti da dispositivi compromessi MikroTik Cloud Core Router (CCR). Ben 99.382 router MikroTik sono accessibili su internet.
Questi router, oltre a esporre un’interfaccia di amministrazione, funzionano su versioni obsolete del sistema operativo, rendendoli suscettibili a vulnerabilità di sicurezza note in RouterOS; si sospetta che i criminali informatici stiano probabilmente sfruttando la funzione di test della larghezza di banda del sistema operativo per eseguire gli attacchi.
L’enorme potenza dell’attacco DDoS subito dall’azienda francese
Si stima che anche il dirottamento dell’1% dei dispositivi esposti in una botnet DDoS potrebbe teoricamente dare agli avversari abbastanza capacità per lanciare attacchi di livello 7 che raggiungono i 2,28 miliardi di pacchetti al secondo (Gpps).
Vale la pena notare a questo punto che i router MikroTik sono stati utilizzati per costruire potenti botnet come Mēris e persino per lanciare operazioni di botnet-as-a-service.
“A seconda del numero di dispositivi compromessi e delle loro effettive capacità, questa potrebbe essere una nuova era per gli attacchi basati sul tasso di pacchetti: con botnet possibilmente capaci di emettere miliardi di pacchetti al secondo, potrebbe seriamente sfidare il modo in cui le infrastrutture anti-DDoS sono costruite e dimensionate“, ha detto Meriot.
Attacchi simili avvenuti in passato
Nel corso degli ultimi anni, diversi altri casi di attacchi DDoS record hanno attirato l’attenzione; ad esempio, nel marzo 2018, GitHub subì un attacco DDoS che raggiunse i 1,35 Tbps, utilizzando una tecnica di amplificazione Memcached.
Nel settembre 2020, Amazon Web Services (AWS) mitigò un attacco che raggiunse il picco di 2,3 Tbps, diventando uno degli attacchi più grandi mai registrati; nel febbraio 2023, Microsoft ha annunciato di aver gestito un attacco DDoS che toccò i 3,47 Tbps, un nuovo record a quel tempo.
Questi incidenti evidenziano un trend crescente in termini di frequenza e intensità degli attacchi DDoS, riflettendo la necessità di infrastrutture di sicurezza sempre più robuste e sofisticate per proteggere le risorse online.