Cette « nébuleuse » d’apparence cosmique est en fait un instantané des attaques contre nos clients. Si elle peut sembler fascinante vue de loin, elle devient bien plus intéressante si on l’examine de près.
Voici une légende pour vous aider à vous repérer :
• Les points rouges sont des adresses IP cibles.
• Les points bleus sont des adresses IP attaquantes.
• Les lignes violettes sont des flux de trafic d’attaque.
De plus, il est important de savoir que la distance entre les objets reflète leurs relations et les similitudes dans leur comportement. Le principe en l’occurrence est que les adresses IP attaquantes présentant des schémas d’attaque similaires sont rapprochées, les plus apparentées étant regroupées en gros amas serrés (« clusters »).
Pour montrer comment cela fonctionne, zoomons sur un exemple d’attaque :
Nous observons ici trois clusters de machines infectées – A, B et C – qui convergent vers une même cible. Les machines au sein de chacun sont liées par un historique d’attaques commun, ce qui signifie qu’elles font partie du même botnet et obéissent au(x) même(s) opérateur(s).
Il est à noter que ces trois clusters correspondent probablement à seulement deux botnets différents car la proximité de A et B indiquent qu’ils affichent des schémas comportementaux similaires. Cela illustre la façon dont les auteurs des attaques utilisent les ressources de leurs botnets pour faire du « multitâche », c’est-à-dire lancer plusieurs attaques à la fois, sachant qu’ils ont rarement besoin de la totalité des ressources à leur disposition pour paralyser une seule cible.
Dans cet exemple, toutefois, les acteurs malveillants ont trouvé à qui parler et ont mis pratiquement toutes leurs forces dans la balance, mais en vain. Même avec le renfort du botnet C plus imposant, la cible est demeurée en ligne, protégée par nos services de neutralisation.
A côté, vous pouvez également noter la présence du cluster miniature C.2, composé de machines qui se comportent de la même façon que le cluster C voisin mais ne participent pas à cette attaque spécifique.
Pourquoi ? Vraisemblablement parce que le
malware ayant servi à les pirater a été éliminé, soit par l’utilisateur de la machine, soit par d’autres acteurs malveillants qui se sont débarrassés de tous les malwares préexistants après qu’ils aient installé leurs propres backdoors.
C’est le genre de scénario que peut révéler un gros plan sur une seule attaque. Une fois encore, nous vous exhortons à explorer l’image en détail pour tenter de découvrir les coulisses des milliers d’attaques inscrites dans ses pixels.
Pour notre part, nous allons prendre du recul pour observer trois types distincts de scénarios d’attaque, chacun lié à un archétype différent d’acteur malveillant.
1. Des botnets à louer essaimant en une nuée de pirates
Au premier coup d’œil, vous pouvez constater que le paysage des botnets est extrêmement chaotique. Un zoom sur l’un des nœuds majeurs d’activité révèle un environnement apparemment désorganisé, très différent des clusters cohérents vus dans l’exemple ci-dessus.
En fait, ce pentagramme disgracieux est la représentation visuelle d’un cluster massif de machines infectées utilisées par un nombre d’individus importants pour attaquer des cibles sans rapport entre elles.
Il pourrait s’agir soit de botnets à louer, employés par divers « abonnés », soit de machines, piratées par plusieurs acteurs malveillants, comme cela a été le cas de toutes ces
caméras de vidéosurveillance. Très probablement, cependant, nous avons affaire à une combinaison des deux.
Voilà à quoi ressemble la majeure partie du paysage DDoS. Un botnet multitenant, une nuée géante de pirates, constituée de machines piratées qui sont exploitées par de multiples acteurs malveillants, tout en étant revendues sous l’apparence de « stressers ».
Si vous revenez à l’image initiale, vous constaterez que ces botnets multitenants forment l’épine dorsale de toute l’activité DDoS :
Dans notre dernier
rapport sur le paysage des menaces DDoS, nous relevons que plus de 80% des attaques contre nos clients proviennent de plateformes de botnets à louer. Cette image met en perspective ce chiffre, ainsi que la menace qu’il représente.
2. Des « pros » du DDoS montant des offensives concertées
Cependant, qu’en est-il des importants nœuds d’activité qui existent en dehors de ces nuées de pirates ? Certains peuvent être également des botnets à louer qui n’ont été utilisés que lors d’une seule attaque au cours de la période étudiée. D’autres, par contre, sont des ressources propriétaires employées par des attaquants professionnels, capables de créer et entretenir leurs propres botnets, sans que ceux-ci soient partagés avec quelqu’un d’autre.
Remarquez les clusters en forme de larme ci-dessus. Il s’agit de botnets très organisés, exploités par des cybercriminels qui ne le sont pas moins. Ici, les motifs de ces dispositifs de comportement homogènes sont représentés par leur proximité et pointent d’une seule main en direction du flux d'attaque.
Ces individus ont fait des attaques DDoS leur gagne-pain. Et quand nous parlons de gagne-pain, nous ne voulons pas parler de l’ensemble des rançons de 250$. Ce serait plus des mercenaires engagés pour faire tomber des concurrents. Les attaques qu’ils lancent sont des campagnes multifacteurs complexes pouvant se prolonger pendant des jours voire des semaines. Leurs cibles font partie des plus grands sites Web ayant recours à nos services.
3. Des « script kiddies » qui en font une affaire personnelle
Si vous vous déplacez vers la périphérie de l’image initiale, vous y découvrirez qu’elle est émaillée de petites attaques. Ces incidents impliquent souvent une seule machine attaquante ne lâchant pas sa proie.
Ils sont, comme vous l’aurez peut-être deviné, le fait d’individus isolés se servant d’outils d’attaque DoS. La plupart d’entre eux sont des
script kiddies, s’attaquant à des sites Web uniquement pour le plaisir. D’autres attaques sont des vengeances personnelles ou ont des motivations politiques.
Les cibles de ces attaques sont souvent des sites de médias, des blogs politisés, des organisations de défense des droits de l’homme ou des institutions religieuses.
Quoi qu’il en soit, bon nombre de ces paires de points cachent de véritables drames. Il est fascinant de constater comment deux pixels peuvent représenter la catharsis d’un contentieux qui dégénère au point que l’un des deux protagonistes recourt à une cyberattaque pour réduire l’autre au silence.
Comme le montre l’image, ces attaques sont très courantes. A telle point que Google a récemment élargi son opération
Project Shield : son initiative lancée spécialement pour protéger contre ces types d’attaque, qui visent en fait la liberté d’expression plutôt que de simples serveurs.
Au-delà d’une belle image
Avec cette analyse, notre objectif était d’illustrer la somme des complexités du paysage DDoS. Toutefois, dans notre travail au quotidien, l’observation des relations entre les différentes machines attaquantes n’a rien d’esthétique.
En regardant l'image, vous pourrez clairement voir que la majeure partie de l'attaque provient d'un nombre limité d’IPs contrevenantes – dispositifs détournés, maintes et maintes fois, pour une activité frauduleuse. Le suivi de ces adresses IP contrevenantes nous permet de créer des stratégies d'atténuation adaptative, avec des niveaux inférieurs de tolérance pour les récidivistes.
Aujourd’hui, nous surveillons des centaines de milliers d’adresses IP malveillantes en permanence et nos bases de données ne cessent de grossir à chaque attaque neutralisée.