Tin tặc tìm kiếm các phương pháp mới để thực hiện tấn công DDoS
Theo các chuyên gia của Kaspersky Lab, tội phạm mạng đã không ngừng tìm kiếm các phương pháp khuếch đại phi tiêu chuẩn mới để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).
Các nhà nghiên cứu Trung Quốc đã tiết lộ thông tin về một phương pháp khuếch đại DDoS có tên là RangeAmp. Phương pháp này khai thác các yêu cầu HTTP cho phép tải tệp xuống theo từng phần. Các chuyên gia nhận thấy rằng một yêu cầu độc hại có thể làm cho các mạng phân phối nội dung (CDN) tăng tải nhiều lần lên một trang web mục tiêu.
Vào tháng 6, Trend Micro cũng đã phát hiện ra rằng hai loại mã độc Kaiji và XOR DDoS, trước đây chuyên nhằm vào các thiết bị IoT, hiện đang nhắm mục tiêu vào các máy chủ Docker không được bảo vệ. Mã độc XOR DDoS hoạt động bằng cách tìm kiếm các máy chủ Docker bị lộ cổng API, sau đó nó sẽ gửi một lệnh để liệt kê tất cả các container được lưu trữ trên máy bị nhắm mục tiêu và cuối cùng lây nhiễm chúng với mã độc XOR DDoS.
Theo cách thức tương tự, mã độc Kaiji quét Internet để tìm kiếm các máy chủ có cổng 2375 bị lộ để triển khai một ARM container giả mạo ("linux_arm") và thực thi mã nhị phân Kaiji.
"Tuy nhiên sự khác biệt giữa hai mã độc này là trong khi XoR DDoS xâm nhập vào máy chủ Docker để lây nhiễm tất cả các container được lưu trữ trên đó, thì Kaiji lại triển khai và tạo ra container riêng để chứa mã độc DDoS của chính nó", các nhà nghiên cứu cho biết.
Ngoài ra, cả hai mã độc này đều thu thập các thông tin như tên miền, tốc độ mạng, định danh của tiến trình (process identifier), thông tin mạng và CPU cần thiết để thực hiện một cuộc tấn công DDoS.
Các sự kiện chính trị, xã hội cũng gây tác động tới các cuộc tấn công DDoS. Theo đó, các cuộc tấn công vào các tổ chức nhân quyền ở Hoa Kỳ đã tăng lên 1.120 lần vào cuối tháng 5. Sự việc diễn ra đồng thời với các cuộc biểu tình tại quốc gia này.
Ngày 26/6, Ủy ban Bầu cử trung ương Nga (CEC) đã ghi nhận một vụ tấn công DDoS nhằm vào trang mạng của cơ quan này. Vụ tấn công xảy ra trước thềm cuộc trưng cầu ý dân về sửa đổi Hiến pháp Nga. Tổng thống Vladimir Putin đề xuất sửa đổi Hiến pháp của nước Nga trong Thông điệp liên bang ngày 15/1. Ông đã đưa ra gói các sửa đổi gồm bảo đảm tiền lương tối thiểu không thấp hơn mức đủ sống, xác định mức lương hưu và phúc lợi xã hội, đồng thời hỗ trợ tài chính cho các gia đình có con nhỏ.
Các số liệu tấn công DDoS trong quý 2/2020
Các chuyên gia có nhận xét, trong quý 2/2020, các tội phạm mạng tiếp tục xu hướng tìm kiếm các lỗ hổng an toàn thông tin mới và dự báo rằng, trong thời gian tới sẽ có thêm nhiều các phương pháp tấn công tinh vi khác góp phần vào khuếch đại tấn công DDoS.
Báo cáo tấn công DDoS quý 2/2020 từ Kaspersky cho thấy số lượng tấn công DDoS quý 2/2020 cao hơn gần 217% so với cùng kỳ năm 2019. Kết quả này trái ngược với xu hướng hàng năm mà các nhà nghiên cứu của Kaspersky đã ghi nhận được.
Thông thường, số lượng các cuộc tấn công DDoS sẽ thay đổi theo mùa. Đầu năm thường là thời gian có tổng tấn công DDoS cao hơn, vì đây là mùa cao điểm kinh doanh và số lượng tấn công sẽ giảm dần vào cuối mùa xuân và mùa hè. Ví dụ: số lượng tấn công DDoS quý 2/2019 đã giảm 39% so với quý 1/2019, và của quý 2/2018 thấp hơn 34% so với quý 1/2018.
Tuy nhiên, số lượng cuộc tấn công trung bình mỗi ngày trong quý 2/2020 đã tăng gần 30% so với quý 1/2020. Ngoài ra, số lượng cuộc tấn công nhiều nhất trong 1 ngày được ghi nhận là gần 300 tấn công trong quý 2 (diễn ra vào ngày 9/4), trong khi kỷ lục của quý 1/2020 là 242 tấn công.
"Năm nay, mọi người không thể tận hưởng một kỳ nghỉ hè như lệ thường vì nhiều khu vực đã áp dụng biện pháp ngăn chặn COVID-19. Điều này khiến nhiều người phải dành nhiều thời gian online hơn cho cả hoạt động cá nhân và công việc. Kết quả là, chúng tôi đã chứng kiến sự gia tăng chưa từng có đối với tấn công DDoS. Cho đến nay, chưa có dấu hiệu cho thấy tấn công sẽ sụt giảm", ông Alexey Kiselev, Giám đốc phát triển kinh doanh của nhóm Kaspersky DDoS Protection cho biết.
Phân bố địa lý của các cuộc tấn công
Dẫn đầu về số lượng các cuộc tấn công DDoS trong quý 2 là Trung Quốc, với tỷ lệ thay đổi không đáng kể (65,12% so với 61,53% trong quý 1). Đứng ở vị trí thứ 2 là Mỹ (20,28%). Hồng Kông vẫn nằm trong vào Top 3 (6,08%). Xuất hiện trong top 10 bảng xếp hạng tấn công DDoS của quý 2/2020 còn có Cộng hòa Nam Phi (1,28%, đứng vị trí thứ 4), Singapore (1,14%, đứng vị trí thứ 5), Australia (0,38%, đứng vị trí thứ 6), Ấn Độ (0,33%, đứng vị trí thứ 7), châu Âu (0,26%, đứng vị trí thứ 8), Canada (0,24%, đứng vị trí thứ 9) và Anh (0,18%, đứng vị trí thứ 10). Điều đáng chú ý là Anh mới xuất hiện trong bảng xếp hạng, thay vị trí của Hàn Quốc trong quý trước. Romania, đã trượt từ vị trí thứ 4 xuống vị trí 17, rơi khỏi top 10.
Phân bố các mục tiêu riêng biệt theo lãnh thổ tương tự với sự phân bố số lượng các cuộc tấn công: Trung Quốc có tỷ trọng lớn nhất (66,02%). Vị trí thứ 2 thuộc về Mỹ (19,32%) và thứ 3 là Hồng Kông (6,34%), thứ 4 là Nam Phi (1,63%) và thứ 5 là Singapore (1,04%). Như vậy, chỉ có Trung Quốc tăng tỷ trọng mục tiêu so với kỳ báo cáo trước đó, tăng 13,31% trong khi các quốc gia còn lại đều giảm nhẹ.
Vị trí thứ 6 thuộc về Úc (0,3%), nhảy từ vị trí thứ 9 trong quý đầu tiên. Ngoài ra, Việt Nam đã trở lại top 10 sau một thời gian ngắn vắng mặt: với sự gia tăng nhỏ về tỷ trọng mục tiêu trên lãnh thổ của mình (tăng 0,06 %, lên 0,23%), Việt Nam chiếm vị trí 7, thay cho Hàn Quốc quý trước (hiện đứng vị trí thứ 10). Hai quốc gia còn lại bảng xếp hạng top 10 quý này là Ấn Độ (0,23%) và Nhật Bản (0,18%), lần lượt vị trí thứ 8 và 9.
Phân bố tấn công DDoS theo loại
Tấn công botnet dựa trên Linux chiếm tỷ lệ nhiều hơn hẳn với 94,78%, tấn công botnet dựa trên Windows giảm, chiếm 5,22% (quý 1 là 4,81%).
Các khuyến nghị
Để giảm thiểu nguy cơ bị tấn công DDoS, các chuyên gia của Kaspersky khuyến nghị các doanh nghiệp nên duy trì hoạt động của tài nguyên web bằng cách tham khảo ý kiến từ các chuyên gia am hiểu biện pháp ứng phó với tấn công DDoS. Các doanh nghiệp cũng cần luôn sẵn sàng để đáp ứng công việc ngoài giờ, kể cả vào buổi tối và cuối tuần.
Bên cạnh đó, việc xác thực các thỏa thuận và thông tin liên hệ của bên thứ ba - bao gồm những thỏa thuận được thực hiện với nhà cung cấp dịch vụ Internet - là cần thiết. Điều này giúp nhanh chóng truy cập các thỏa thuận trong trường hợp bị tấn công.
Mặt khác, các doanh nghiệp cũng cần thực hiện các giải pháp chuyên nghiệp như Kaspersky DDoS Protection để bảo vệ tổ chức khỏi các cuộc tấn công DDoS. Đây là giải pháp tích hợp kiến thức chuyên môn sâu rộng của Kaspersky trong việc chống lại các mối đe dọa trực tuyến.