2022’de DDoS Saldırı Trendleri: Ultra Kısa, Güçlü, Çok Vektörlü Saldırılar

   Temmuz 27, 2022  Posted in Bleeping Computer


G-Core laboratuvarları DDoS Trendleri resmi

Bu makale Gcore’da Web Güvenliği Başkanı Andrew Faber tarafından yazılmıştır.

Avrupa’da ve dünyanın geri kalanında siyasi durum 2022’de dramatik bir şekilde bozuldu. Bu durum, siyasi amaçlarla aktif olarak kullanılmaya başlayan DDoS saldırılarının doğasını, yoğunluğunu ve coğrafyasını etkiledi.

Avrupa’daki çatışmalar nedeniyle yeni endüstri trendleri

Doğu Avrupa’daki durum, özellikle DDoS saldırıları ve koruma gibi alanlarda tüm siber güvenlik endüstrisini etkiledi. Şimdi, saldırılar daha sofistike ve güçlü hale gelirken, devletler bu pazarda aktif katılımcılar haline geliyor.

DDoS saldırılarının hedeflerini, doğasını ve yoğunluğunu değiştiren jeopolitik durum

2022’nin ilk yarısında, birkaç ülke hükümet ve finans kurumlarına yönelik saldırılar bildirdi:

  • “Bankaları ve hükümet web sitelerini devre dışı bırakmayı amaçlayan bu siber saldırı, Ukrayna tarihinin en kötüsüydü. Ukrayna hükümetine göre, 15 Şubat Salı günü başladı ve yaygın bir kafa karışıklığına neden olmak amacıyla Çarşamba gününe kadar sürdü. “Bu saldırı, ülkemizde istikrarı bozmak, panik ve kaos ekmek için önceden hazırlandı.” Saldırı, Savunma Bakanlığı’nın web sitesi ve Ukrayna devlet hizmetleri dijital portalı Diia’nın yanı sıra Oschadbank ve PrivatBank’ın ATM ağlarını ve mobil uygulamalarını hedef aldı.
  • 11 Mart’ta Çin devlet ajansı Xinhua, siber saldırıların ABD, Almanya ve Hollanda’ya kadar takip edildiğini iddia etti. Bu saldırılar Çin’deki bilgisayarlar aracılığıyla gerçekleştirildi ve Ukrayna, Belarus ve Rus kaynaklarını hedef aldı. Devlet kurumu, tespit edilen bu siber saldırıların kaynaklarını isimlendirmesine rağmen, onları herhangi bir ülkeye atfetmedi. Saldırılar, bu ülkelerde IP adresleri alan bilgisayar korsanları tarafından düzenlenmiş olabilir.
  • 8 Nisan’da Finlandiya Savunma ve Dışişleri Bakanlığı web siteleri siber saldırılara maruz kaldı. Bakanlık, “Konuyu araştırıyoruz ve olay hakkında daha fazla bilgi sahibi olduğumuzda bilgi vereceğiz” dedi, saldırının arkasındaki şüpheliler açıklanmadı.

Devletler, DDoS azaltma pazarında resmi katılımcılar haline geliyor

DDoS piyasası genellikle kendiliğinden olarak tanımlanabilir. Müşteriler için güçlü ve maliyetli saldırılar nadir değildir, ancak hükümetler bunlara karşı koruma sağlarken daha ölçülü davranırlardı. Şimdi, bu kesimdeki devlet yapılarının eylemleriyle ilgili söylentiler genellikle yetkililer tarafından doğrulanıyor. Örneğin, Şubat 2022’nin sonunda, ABD Başsavcısı, FBI’ın Rus kötü amaçlı yazılımlarını ortadan kaldırmak ve büyük ölçekli bir DDoS saldırısını önlemek için gizli bir operasyon yürüttüğünü açıkça doğruladı.

Ukrayna’da siber birliklerin ortaya çıkışı da iyi belgelenmiş durumda, onların oluşturulması geçen yıl ülke hükümeti tarafından doğrulandı. İşe alım süreci Şubat 2022’de başladı ve bilgi güvenliğini sağlamak ve kritik altyapıyı korumakla görevlendirildi. Sektöre bu tür aktif hükümet müdahalesi, piyasayı temelden sonsuza kadar değiştirebilir.

DDoS saldırı karmaşıklığı, gücü ve süresi nasıl değişti?

Bunun DDoS saldırılarının gücü, coğrafyası ve süresi üzerinde belirgin bir etkisi oldu. Hem ülkeler hem de sektörler için ana DDoS saldırısı kurbanlarının listesi son aylarda önemli ölçüde değişti. Şirket, aşağıda okuyabileceğiniz verilerini paylaştı.

Saldırılar daha karmaşık ve çok vektörlü hale geliyor

Birkaç farklı DDoS saldırısı türü vardır:

  • Fidye DDoS saldırıları gasp için gerçekleştirilir – saldırganlar fidyeyi aldıktan sonra saldırılarını durdurma sözü verir.
  • Uygulama katmanı DDoS saldırıları, hedefler için maddi ve itibar kaybına neden olan iş uygulamalarının çalışmasına müdahale eder ve hatta tamamen felç eder.
  • Ağ katmanı DDoS saldırıları, ağların bant genişliğini tüketir ve hedefin ortaklar ve müşterilerle olan etkileşimlerini bozar.

Her saldırı türü, kurbanın altyapısındaki farklı güvenlik açıklarından yararlanır. Önceden saldırılar belirli bir vektöre dayalıydı, ancak şimdi daha karmaşık kötü amaçlı kampanyaların payı artıyor. Saldırganlar, kurbanın sunucusuna doğrudan saldırmak yerine, onun temel işlevlerinden birini felç eder ve farklı vektörler boyunca birleşik saldırılar gerçekleştirir.

Gcore’a göre, 2022’de bu tür karmaşık çok vektörlü saldırıların sayısı bir önceki yıla göre üç katına çıktı. Botlar ve botnet’ler, DDoS saldırıları için en yaygın vektörler haline gelirken, HTTP sel saldırıları da yaygın olarak kullanılmaktadır. Şirket, Gcore Web Uygulaması DDoS Koruması tarafından önlenen güçlü bir saldırı örneğini paylaştı:

Gcore Web Uygulaması DDoS Koruması tarafından algılanan güçlü bir HTTP Flood saldırısı örneği
Gcore Web Uygulaması DDoS Koruması tarafından algılanan güçlü bir HTTP Flood saldırısı örneği

Ultra kısa saldırıların sayısı ve ortalama saldırı gücü artıyor

Son yıllarda, ultrashort DDoS saldırılarının sayısı artıyor. Gcore’a göre, 2022’de bu tür saldırıların ortalama süresi 5-10 saniyeydi.

En uzun saldırı, şirketin uzmanları tarafından 14-15 Nisan’da kaydedildi. 5 Gbps kapasite ile 24 saat sürmüştür.

2022’nin ilk ve ikinci çeyreğinde kaydedilen saldırıların ortalama gücü iki katından fazla arttı – geçen yıl 300 Gbps idi ve bu yıl zaten 700 Gbps. Daha önce, bu tür saldırıların ana hedefleri küçük ve orta ölçekli şirketlerdi, ancak bu yıl giderek daha fazla saldırı devlet kurumlarını hedef alıyor.

Devlet kurumları, DDoS saldırılarının sık hedefi haline geliyor

2022’nin başlangıcı, son yılların en güçlü saldırılarından bazılarına damgasını vurdu. Çoğu devlet kurumlarını hedef aldı:

  1. 15 Ocak – Kuzey Kore altyapısına saldırı. Ülkede 6 saat boyunca tam bir elektrik kesintisine neden oldu. Saldırı sonucunda ülkedeki tüm ulaşım felç oldu.
  2. 16 Ocak – Ukrayna hükümetinin web sitelerine saldırı. Milli Eğitim Bakanlığı, Dışişleri Bakanlığı, Devlet Acil Servisi, Bakanlar Kurulu, Enerji Bakanlığı ve Diyaa’nın internet siteleri felç oldu.
  3. 15 Şubat – Ukrayna Savunma ve Silahlı Kuvvetler Bakanlığı, PrivatBank ve Oschadbank’a saldırılar. Eşzamanlı saldırıların bir sonucu olarak, birçok Ukrayna bankacılık sistemi ve birkaç hükümet web sitesi çöktü.
  4. 23 Şubat – Ukrayna Dışişleri Bakanlığı ve Ulusal Parlamento’ya saldırı. Büyük çaplı saldırıların bir sonucu olarak, birçok hükümet web sitesi kapatıldı.
  5. 10 Mart – Ukrtelecom’a saldırı. 40 dakika boyunca Ukrayna’nın ulusal telekom operatörünün çalışması ve ülke genelindeki ağların ve temel iletişim kanallarının işleyişi kesintiye uğradı.
  6. 11 Mart – Rostec web sitesine bir saldırı. Devlet havacılık ve savunma şirketi, Şubat ayından bu yana sürekli DDoS saldırıları altında olduğunu söyledi.
  7. 14 Mart – İsrail hükümetinin web sitelerine saldırı. İçişleri, Savunma, Sağlık, Adalet ve Sosyal Hizmetler Bakanlıkları ile Başbakanlık’ın internet sitelerine saldırı düzenlendi. Kampanya, İsrail’e karşı şimdiye kadar başlatılan en güçlü siber saldırı olarak etiketlendi.
  8. 16 Mart – Ukraynalı internet servis sağlayıcısı Triolan’a saldırı. Bu, Ukraynalı kullanıcıları için ciddi internet kesintilerine neden oldu.
  9. 29 Mart – Bradley Havaalanı web sitesine bir saldırı. Bilinmeyen bilgisayar korsanları, ABD’deki Bradley Uluslararası Havalimanı’nın web sitesine bir saldırı başlattı.
  10. 8 Nisan – Finlandiya Savunma ve Dışişleri Bakanlıklarına saldırı. Departmanların web siteleri gün boyunca kullanılamadı ve arızalandı.

İşletmeler ağır sel saldırılarına maruz kalıyor

Gcore’a göre, 2022’nin ilk ve ikinci çeyreğinde en çok saldırıya uğrayan iş sektörleri e-ticaret, fintech ve oyun geliştirmeydi. Şirket, güçlü TCP ve UDP flood saldırıları hakkında bilgi paylaştı.

14-15 Nisan tarihleri ​​arasında fintech şirketine yönelik bir günden fazla süren TCP Flood saldırısının trafik yapısı
14-15 Nisan tarihleri ​​arasında fintech şirketine yönelik bir günden fazla süren TCP Flood saldırısının trafik yapısı
Oyun Geliştiricisine UDP Flood saldırısı hakkında bilgi, 11 Mart
Oyun Geliştiricisine UDP Flood saldırısı hakkında bilgi, 11 Mart

Artan DDoS koruma gereksinimleri

Bu tür güçlü ve karmaşık saldırılara karşı savunmak için işletmeler ve devlet kurumları gelişmiş güvenlik sistemlerine ihtiyaç duyar. Bu, Gcore’un DDoS saldırılarının sayısında ve karmaşıklıklarında ilk kez keskin bir artış yaşaması değil.

2020-2021’de çevrimiçi oyunlar ve eğlence endüstrisinde artan içerik tüketimiyle birlikte DDoS saldırıları da daha sık ve karmaşık hale geldi. Saldırılar daha sinsi hale geldi – Saldırganlar belirli sunucuları hedeflemek yerine web uygulamalarına (OSI ağ modelinin L7) odaklandı ve trafiği meşrulaştırmaya çalıştı.

Siber suçluların ana hedeflerinden biri müşterimiz Wargaming’di. 18 Şubat 2021’de Gcore’un güvenlik sistemi, oyun geliştirme şirketinin sunucularına yönelik bir UDP Flood saldırısı tespit etti.

Hacmi 253 Gbps’ye ulaştı ve 15 dakika sürdü – başarıyla saptırdık. Ağımızın devasa bant genişliği ve saniyede yüzlerce gigabit hızında saldırıları algılayan ve etkisiz hale getiren filtreleme sistemimiz sayesinde mümkün oldu.

Kapsamlı koruma algoritmalarımız, saldırganların meşru trafiklere benzer trafik kullanmaya çalıştığı durumlarda bile güvenlik sistemlerimizin atlanmamasını sağlar.

Gcore, karmaşık saldırılara karşı kapsamlı koruma sunar: ağ (L3), aktarım (L4) ve uygulama (L7) katmanlarında çalışarak istemcileri her türlü siber tehditten etkin bir şekilde korur. Akıllı, gerçek zamanlı trafik filtreleme teknolojisi yalnızca belirli kötü amaçlı oturumları kestiğinden, çözüm, saldırı süresince iş süreçlerinin duraklatılmasını gerektirmez.



Source link