Qrator Labs, savunmasız çevrimiçi hizmetlerin ne kadar savunmasız bir şekilde kaldığına dair kesin bir hatırlatıcı olarak, genişleyen bir katman 7 dağıtılmış hizmet reddi (DDOS) Botnet’in 5.76 milyondan fazla uzlaşmış cihaza şiştiğini, kritik altyapılara karşı eşi görülmemiş trafiği açığa çıkardığını ortaya koydu.
Mart ayı sonundan bu yana izlenen Botnet, hem hızlı büyümesini hem de mevcut DDOS azaltma stratejilerine neden olduğu zorlu zorluğu gösteren üç büyük ölçekli saldırıda kullanılmıştır.
Botnet’in açılış saldırısı, 26 Mart’ta, çevrimiçi bahis kuruluşunun web uygulamalarında yaklaşık 1.33 milyon benzersiz IP adresinin birleştiği tespit edildi.
Qrator Labs’ın telemetri verileri, katılımcı cihazların çoğunluğunun Brezilya, Arjantin, Rusya, Irak ve Meksika’dan geldiğini göstermektedir.
Birkaç dakika içinde, hedeflenen sunucular, uygulama katmanı kaynaklarını tüketmek için tasarlanmış HTTP GET istekleri ile su altında kaldı, bu da son kullanıcılar için servis bozulmasına ve aralıklı kesintilere neden oldu.
Güvenlik ekipleri, ücret sınırlayıcı kurallar ve web uygulaması güvenlik duvarı (WAF) imzaları uygulamak için uğraştı, ancak eşzamanlı bağlantıların hacmi iyi korunmuş altyapıları bile zorladı.
Devlet sektörü hedefleme
Yaklaşık iki ay sonra, 16 Mayıs’ta Botnet, şaşırtıcı bir boyut artışı ile yeniden ortaya çıktı – şimdi 4.6 milyon cihazdan yararlandı.
Bu kez, seçilen kurban, açık kaynaklı portalların ve vatandaşa bakan hizmetlerin kötü niyetli taleplerden oluşan bir tsunami ile vurulduğu hükümet sektöründe faaliyet gösterdi.
Botnet’in coğrafi dağılımı mütevazı bir şekilde değişti: Brezilya saldırı trafiğinin en iyi katkısı olarak kaldı, ancak ABD, Vietnam, Hindistan ve Arjantin de önemli botnet kaynakları sağladı.
Analistler, trafik modellerinin, ince ayarlı amplifikasyon yapabilen modüler komut ve kontrol direktifleri öneren bir istek yoğunlukları karışımını içerdiğini belirtti.
Hızlı olay tepkisine ve ovma merkezlerine trafik saptırmasına rağmen, saldırı dört saatten fazla devam etti ve bazı ajansları alternatif veri merkezlerine acil yük devretme uygulamaya zorladı.
5.76m cihazlarda iki dalga saldırı zirveleri
Eylül ayı başlarında, Qrator Labs henüz Botnet’in en güçlü operasyonunu gözlemledi. Üçüncü vesileyle, yine devletle ilgili hizmetleri hedefleyen tehdit aktörleri, kampanyayı birbirini izleyen iki dalgaya ayırdı.
Birincisi kabaca 2,8 milyon IP adresi içeriyordu ve uygulama uç noktalarını tüketmek için saniyede milyonlarca talep gönderdi.
Yaklaşık bir saat sonra, toplam saldırı kuvvetini 5.76 milyona getirerek 3 milyon daha fazla tehlikeye girmiş cihaz katıldı.
Brezilya, aslanın bot trafiği (1.41 milyon IP) payını, ardından Vietnam (661 000), ABD (647 000), Hindistan (408 000) ve Arjantin (162 000) sağladı.
İkinci ve üçüncü kampanyalar arasındaki üç aylık dönemde, Vietnam ve Hindistan, cihaz uzlaşmasının en hızlı şekilde hızlandığı en dik büyümeyi-sırasıyla yüzde 83 ve yüzde 202’lik-sergiledi.
Qrator Labs’tan CTO Andrey Leskin, “Korunmasız veya kötü korunan kaynağı hedeflerken, bu ölçeğin bir DDOS botnet, saniyede on milyonlarca talep üretebilir, birkaç dakika içinde ezici sunucular,” diye uyardı.
“Dahası, her DDOS koruma sağlayıcısı böyle büyük bir saldırıya dayanamaz, yani tüm müşterilerinin kaynaklarının kullanılabilirliği aynı anda risk altında olabilir.”
Hafifletme
Bu botnet’in evrimi, ağ düzeyinde savunmaları atlamak için uygulama seviyesi HTTP sel tekniklerinden yararlanan büyük ölçekli katman 7 saldırılarının kalıcı tehdidinin altını çiziyor.
Bulut tabanlı WAF hizmetlerine veya üçüncü taraf ovma merkezlerine bağımlı kuruluşlar, DDOS korumalarının ani trafik artışlarını emmek için dinamik olarak ölçeklenebileceğini doğrulamalıdır.
Trafik anomali tespiti, davranışsal parmak izi ve coğrafi engelleme, çok katmanlı bir savunmanın kritik bileşenleri olarak kalır.
Ayrıca, işletmeler proaktif olay müdahale tatbikatlarını benimsemeli ve eşik tabanlı ovma kurallarını geliştirmek için DDOS azaltma uzmanları ile işbirliği yapmalıdır.
BotNet dünya çapında savunmasız cihazları işe almaya devam ettikçe, güvenlik ekipleri uyanık kalmalı ve web’e dönük uygulamaları korumak için sağlam hafifletme çerçevelerine yatırım yapmalıdır.
Rekor kıran 5.76 milyon cihaz saldırısı, rakiplerin hala büyük dağıtılmış altyapılardan yararlanabileceği bir uyandırma çağrısı görevi görür ve sadece kapsamlı, uyarlanabilir savunmalar kritik çevrimiçi hizmetlerin kullanılabilirliğine olan güveni geri kazanabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.