Botnet Mantis przejął 5 tys. maszyn wirtualnych oraz serwerów i przeprowadził w ostatnim miesiącu 3 tys. ataków. Szczytem było 26 milionów żądań HTTPS na sekundę.
Firma Cloudflare zajmująca się sieciami dystrybucji treści (CDN) poinformowała, że botnet stojący za największymi zarejestrowanymi przez nią atakami DDoS zaatakował w ciągu ostatnich kilku tygodni prawie 1000 organizacji. W ostatnim kwartale liczba ataków HTTP DDoS wzrosła o 72%. Botnet wygenerował w czerwcu krótkotrwałe, ale rekordowe uderzenie, którego szczytem było 26 milionów żądań HTTPS na sekundę. Mantis przejmował maszyny wirtualne i serwery hostowane przez firmy z branży chmurowej, zamiast polegać na urządzeniach Internetu Rzeczy (IoT) o niskiej przepustowości.
Nazwa tego szkodliwego oprogramowania pochodzi od gatunku małej, ale niezwykle silnej, krewetki – Mantis — znanej również jako „rozdzielacz kciuków”. Są drobne, mają mniej niż 10 cm długości, ale ich szpony są tak silne, że mogą wygenerować falę uderzeniową o sile 1500N przy prędkości 83 km/h z pozycji stojącej.
Nieustanna ewolucja zagrożeń
Opisywane zagrożenie jest kolejną ewolucją botnetu Meris, który, szturmując popularne strony internetowe, opierał się na urządzeniach Internetu Rzeczy — IoT (takich jak rejestratory, kamery CC czy czujniki dymu). Na przykład: tysiące routerów MikroTik zostało zhakowanych w 2018 roku i wykorzystywanych w atakach DDoS do 2021 roku. Mantis wykorzystuje przejęte maszyny wirtualne i potężne serwery. Oznacza to, że operuje „niewielką armią”, około 5 tysięcy botów, które mogą wygenerować gigantyczną siłę — odpowiedzialną za największe ataki HTTP DDoS.
– Nigdy nie odseparujemy całego szkodliwego ruchu. Rozpoznanie, które zapytania są prawdziwe, a które nie, może być niezwykle trudne, ponieważ wiele organizacji nie jest w stanie określić, które zapytania są spowodowane zwiększonym zainteresowaniem realnych użytkowników ich usługami, a które pochodzą od automatycznych botów. Dlatego ważne jest precyzyjne wykrywanie DDoS oraz wydajne kosztowo, zautomatyzowane łagodzenie skutków, czyli np. mitygacja automatyczna – zwraca uwagę Krzysztof Szukała, menedżer ds. bezpieczeństwa z Grupy 3S, która oferuje rozwiązania Anty-DDoS. Aktywuje się ona w ciągu kilkunastu sekund od wykrycia ataku i rozpoczyna procesy filtracji niepożądanego ruchu. Rozwiązanie zabezpiecza kluczowe systemy i łącze przed atakami jak parasol przed deszczem — wszystkie zasoby pod parasolem są chronione i dostępne, a niepożądany ruch sieciowy „spływa” dookoła, nie wyrządzając szkód.
Ataki HTTPS DDoS są bardziej obciążające obliczeniowo dla atakującego i ofiary ze względu na nieodzowny koszt nawiązania szyfrowanego połączenia TLS (Transport Layer Security). Mantis rozszerzył się na wiele wirtualnych maszyn i obsługuje uruchamianie różnych proxy HTTP w celu przeprowadzenia ataków.
Śpiesz się powoli
W ciągu ostatniego miesiąca Mantis przeprowadził ponad 3000 ataków HTTP DDoS przeciwko klientom Cloudflare, przy czym 36% ataków było wymierzonych w firmy z sektora usług internetowych i telco. Innymi, częstymi celami były przedsiębiorstwa świadczące usługi informacyjne i wydawcy gier, ale na celowniku znalazły się również strony internetowe organizacji z sektora finansów, e-commerce i hazardu.
– Ze względu na przyspieszoną cyfryzację, bardzo szybki rozwój chmury i ekosystemu Internetu Rzeczy rośnie liczba ataków i ich siła. Ostatnio wiele projektów IT było realizowanych w pośpiechu, bez przykładania należytej wagi do bezpieczeństwa. Dziś słono za to płacimy. Rosnąca liczba serwerów i urządzeń z niestandardowymi lub domyślnymi zabezpieczeniami sprawiła, że są one z powodzeniem stosowane do ataków, np. DDoS, i to bez wiedzy ich właścicieli – tłumaczy Krzysztof Szukała, menedżer ds. bezpieczeństwa w Grupie 3S.
Ponad 20% ataków było wymierzonych w organizacje amerykańskie, a ponad 15% w organizacje z siedzibą w Rosji. Kolejne były Turcja, Francja i Polska – po około 5%.
