Новости Днепра (Днепропетровска) и Днепропетровской области

16 марта 2018 года

Киберполиция информирует о появлении новых инструментов для осуществления террабитних DDoS атак

В течение нескольких последних месяцев к киберполиции поступает значительно большее количество обращений из финансовых учреждений государственного и частного сектора, транспортных компаний, государственных предприятий и провайдеров доступа к сети Интернет относительно вымогательства у них средств хакерской группой «LizardSquad».

Жертвам, от имени так называемой «LizardSquad», на электронные почтовые ящики приходят письма с сообщением, что их учреждение / предприятие / компанию выбрали для последующей DDoS-атаки. Отмечается, что эта атака значительно повлияет на функционирование учреждения / предприятия / компании, а возможно, даже заблокирует его работу. Для того чтобы избежать таких последствий, пострадавшие должны заплатить хакерам 3 BTC. В случае неуплаты комиссия будет увеличена на 5 BTC за каждый день, который прошел без оплаты.

В настоящее время работники Департамента киберполиции сопровождают ряд уголовных производств, в рамках которых проводятся следственные (розыскные) мероприятия, направленные на установление группы неизвестных лиц, которые сами себя называют хакерской группой LizardSquad.

Специалисты Департамента киберполиции обращают внимание пользователей, что оплата за, так сказать, "протекцию от атак" не предоставляет полноценной защиты и 100% вероятности избежать хакерской атаки. Уплата этих средств только финансирует дальнейшую противоправную деятельность злоумышленников и подтверждает правильность выбранной ими схемы шантажа.

Кроме того, отдельным аспектом, который усиливает эффект таких писем является то, что в последнее время наблюдается значительное увеличение количества случаев использования нового вектора кибератаки - использование протокола Memcached.

Уже есть подтвержденные факты использования хакерами уязвимых сервисов Memcached для проведения ряда DDoS-атак, включая массированную атаку на сайт Github и крупнейшую в мире DDoS-атаку (мощностью примерно 1,7 Тбит / с) на американскую фирму.

Таким образом, можно констатировать, что во всем мире большинство серверов, на которых используется протокол Memcached, были развернуты с использованием опасной конфигурации по умолчанию. Так, протокол Memcached по своей природе не предназначался для доступа к сети Интернет. Однако риск настроек "по умолчанию" заключается в том, что в некоторых дистрибутивах ОС Linux Memcached прослушивает TCP и UDP-порты 11211 на всех интерфейсах. На сегодня, по оценкам экспертов, более 88 000 серверов Memcached подвергаются потенциальному риску злоупотребления уязвимостью. Большинство этих серверов расположено в Европе и Северной Америке.

Алгоритм атаки базируется на особенностях работы протокола Memcached. Когда в систему поступает запрос на получение Memcached, алгоритм формирует ответ, собирая запрошенные данные из кэша и отправляет их сетью в непрерывном потоке. К тому же, с целью усиления коэффициента эффективности атаки, злоумышленники могут влиять на объем передаваемых данных путем многократного повторения запроса или непосредственно отмечая необходимое количество копий запрашиваемой информации. Например: злоумышленник может намереваться разместить значение 1 МБ в хранилище данных и использовать поддельный запрос пакета UDP, который имеет значение 1 МБ, однако сотни раз за запрос. Это приведет к массивному коэффициенту усиления, когда запрос 203 байта приводит к 100 МБ ответы на каждый запрос. Комбинируя эту особенность протокола Memcached с подменой IP-адреса получателя ответы на первичный запрос, формируется достаточно массивная DDoS-атака.

Анализ имеющихся данных является основанием считать, что преступникам удалось добавить совершенно новую и чрезвычайно эффективную технику к уже существующему кибер-оружию, которое может привести к двойным DDoS-атакам путем использования неправильно сконфигурированных серверов Memcached, которые легко доступны через общедоступное подключение к Интернету. Учитывая количество потенциально уязвимых серверов во всем мире, предполагая вероятность их компрометации преступниками, следует предположить, что может сформироваться такая ситуация, когда крупномасштабные DDoS-атаки станут тенденцией.

Поэтому специалисты Департамента киберполиции советуют администраторам серверов, на которых применяется протокол Memcached, проверить факт наличия уязвимости в конфигурациях соответствующего сервиса, убедиться, что протокол Memcached прослушивает исключительно локальный интерфейс, или при необходимости только те интерфейсы, которые не имеют прямого доступа к сети Интернет, а также защищены должным образом соответствующими настройками фаервола. Кроме того, стоит включить систему логирования, чтобы фиксировать все факты вмешательства в работу серверов Memcached посторонних лиц.

По информации Департамента киберполиции Национальной полиции Украины cyberpolice.gov.ua