Киберполиция предупреждает о появлении у злоумышленников новых инструментов для террабитных DDoS атак
16-03-2018, 09:05Киберполиция Украины предупреждает о появлении у киберпреступников новых инструментов для осуществления террабитних DDoS атак. Об этом сообщается на сайте киберполиции.
В сообщении отмечается, что в течение нескольких последних месяцев в киберполицию увеличилось количество обращений из финансовых учреждений государственного и частного сектора, транспортных компаний, государственных предприятий и провайдеров доступа к сети Интернет по поводу вымогательства у них средств хакерской группой «LizardSquad».
Жертвам от имени так называемой «LizardSquad» на электронные почтовые ящики приходили письма с сообщением, что их учреждение/предприятие/компанию выбрали для последующей DDoS атаки. При этом отмечалось, что эта атака значительно повлияет на функционирование учреждения/предприятия/компании, а возможно даже заблокирует их работу. Чтобы избежать таких последствий пострадавшие должны были заплатить хакерам 3BTC (3 биткоина). В случае неуплаты, комиссия будет увеличена на 5BTC за каждый день, который прошел без оплаты, - угрожали неизвестные.
В настоящее время сотрудники Департамента киберполиции сопровождают ряд уголовных производств, в рамках которых проводятся следственные (розыскные) мероприятия, направленные на установление группы неизвестных лиц, которые сами себя называют хакерской группой LizardSquad.
Специалисты киберполиции обращают внимание пользователей, что оплата за так сказать "протекцию от атак" не предоставляет полноценной защиты и 100%-й вероятности избежать хакерской атаки. Уплата этих средств только финансирует дальнейшую противоправную деятельность злоумышленников и подтверждает правильность выбранной ими схемы шантажа.
Кроме того, отдельным аспектом, который усиливает эффект таких писем, является то, что в последнее время наблюдается значительное увеличение количества случаев использования нового вектора кибератаки - использование протокола Memcached.
Уже есть подтвержденные факты использования хакерами уязвимых сервисов Memcached для проведения ряда DDoS-атак, включая массированную атаку на сайт Github и крупнейшую в мире DDoS-атаку (мощностью примерно 1,7 Тбит/с) на американскую фирму, - отметили в киберполиции.
Таким образом, можно констатировать, что во всем мире большинство серверов, на которых используется протокол Memcached, были развернуты с использованием опасной конфигурации по умолчанию.
Протокол Memcached по своей природе не предназначался для доступа к сети Интернет. Однако, риск настроек "по умолчанию" заключается в том, что в некоторых дистрибутивах ОС Linux Memcached прослушивает TCP и UDP-порты 11211 на всех интерфейсах. В настоящее время, по оценкам экспертов, более 88 000 серверов Memcached подвергаются потенциальному риску злоупотребления уязвимостью. Большинство этих серверов расположены в Европе и Северной Америке, - констатировали в киберполиции.
Алгоритм атаки базируется на особенностях работы протокола Memcached. Когда система получает запрос на получение информации, алгоритм формирует ответ, собирая запрошенные данные из кэша и отправляет их сетью в непрерывном потоке. К тому же, с целью усиления коэффициента эффективности атаки, злоумышленники могут влиять на объем передаваемых данных путем многократного повторения запроса или непосредственно отмечая необходимое количество копий запрашиваемой информации. Например: злоумышленник может запросить 1 МБ из хранилища данных и использовать поддельный запрос пакета UDP, который имеет значение 1 МБ, однако продублировав его сотни раз. Это приведет к массивному коэффициенту усиления, когда запрос приводит к получению 100 МБ ответных данных. Комбинируя эту особенность протокола Memcached с подменой IP-адреса получателя ответа на первичный запрос, формируется достаточно массивная DDoS-атака.
Анализ имеющихся данных является основанием считать, что преступникам удалось добавить совершенно новую и чрезвычайно эффективную технику к уже существующему кибер-оружию, которое может привести к двойным DDoS-атак путем использования неправильно сконфигурированных серверов Memcached, которые легко доступны через общедоступное подключение к Интернету. Учитывая количество потенциально уязвимых серверов во всем мире, предполагая вероятность их компрометации преступниками, следует допустить, что может сформироваться такая ситуация, когда крупномасштабные DDoS атаки станут тенденцией.
Поэтому, специалисты из Департамента киберполиции советуют администраторам серверов, на которых применяется протокол Memcached, проверить факт наличия уязвимости в конфигурациях соответствующего сервиса, убедиться, что протоколом Memcached прослушивается исключительно локальный интерфейс, или, в случае необходимости, только те интерфейсы, которые не имеют прямого доступа к сети Интернет, а также защищены должным образом соответствующими настройками фаервола. Кроме того, стоит включить систему логгированния, с целью фиксирования всех фактов вмешательства в работу серверов Memcached третьими лицами, - отметили в киберполиции.