Волна мощнейших DDoS-атак, обрушившаяся в конце квартала на сайты крупнейших американских банков, на прошлой неделе спала, говорится в блоге "Лаборатории Касперского".
Эти удары были настолько хорошо подготовлены и сокрушительны, что специалист по анти-DDoS защите Prolexic Technologies разослала своим клиентам предупреждение о возможной эскалации угрозы. В общем и целом пострадало 6 банков: Wells Fargo, U.S. Bancorp, PNC Financial Services Group, Citigroup, Bank of America и JPMorgan Chase. В результате продолжительных flood-атак, мощность которых, по данным Prolexic, на пике составляла 70 Гбит/с и свыше 30 млн. пакетов/с, некоторые сервисы ненадолго ушли в оффлайн, другие стали работать с перебоями. Сети, арендуемые крупными организациями, обычно имеют пропускную способность до 1-10 Гбит/с.
В данном случае все, или почти все, пострадавшие оказались клиентами Prolexic, которой пришлось фильтровать весь их вздувшийся трафик через свои датацентры в Лондоне, Гонконге, Калифорнии и Виргинии. По свидетельству экспертов, атакующие продемонстрировали хорошее знание базовых технологий анти-DDoS защиты и отыскали много слабых мест в организации банковских веб-сервисов. Они прибегли к помощи ботнетов и в ходе DDoS-кампании применили порядка 8 разных техник проведения атаки.
Prolexic удалось идентифицировать один из инструментов, которым пользовались злоумышленники, ― тулкит, известный под непростым именем itsoknoproblembro. Он позволяет проводить DDoS-атаки на разных уровнях, включая прикладной, способен осуществлять SYN flood и поддерживает UDP, ICMP и SSL протоколы. Чаще всего itsoknoproblembro используется для проведения UDP flood на DNS-серверы. За минувший год Prolexic успешно отразила ряд DDoS-атак с участием этого тулкита и отмечает, что его операторы предпочитают использовать легитимные IP-адреса, посему применение средств защиты от спуфинга в данном случае не даст ожидаемого результата.
Тулкит itsoknoproblembro будет подробно рассмотрен в очередном квартальном отчете Prolexic о DDoS-атаках, который появится в середине октября. Одновременно будет выпущен информационный бюллетень с сигнатурами itsoknoproblembro и рекомендациями по мерам противодействия.
Источник: CyberSecurity
|