Secondo una ricerca presentata dall’ ASERT alla fine del 2014, su forum in lingua russa erano state mappate alcune pubblicità di booter DDoS pubblicate per promuovere infrastrutture botnet nascoste, dedicate agli attacchi DDoS. In questo documento si approfondirà ulteriormente la questione analizzando un altro caso simile per provare a calcolare quanto denaro possa generare un servizio DDoS del genere.
Tutto inizia con una pubblicità… In questo mercato tutto comincia quasi sempre con la pubblicità di un servizio booter DDoS su uno dei numerosi forum accessibili in lingua russa. In questo caso il servizio è gestito da un operatore che si fa chiamare “Forceful”. Una ricerca del suo numero di ICQ e/o indirizzo Jabber restituisce una serie di annunci pubblicitari apparsi dal novembre 2014 in poi. Si tratta solitamente di pubblicità che contengono un logo, un banner o un motto; una breve spiegazione di cosa è un attacco DDoS; il tipo di attacchi DDoS supportati dal servizio; i prezzi; informazioni circa la reputazione dell’operatore e dati di contatto.
…per poi scivolare su un errore OPSEC. Ciò che questi annunci solitamente non contengono, tuttavia, sono le informazioni relative al sistema di comando e controllo (C2) delle reti botnet impiegate per sferrare gli attacchi DDoS acquistati. Stabilire un punto di congiunzione tra l’annuncio pubblicitario e la relativa botnet richiede solitamente che l’operatore compia un errore dal punto di vista della sicurezza operativa (OPSEC). Tali errori possono essere di vario genere; nel caso di Forceful si è trattato di questo: l’operatore stava partecipando a una discussione in un forum relativa a un criptatore, uno strumento adoperato per cifrare o offuscare il codice eseguibile del malware in modo da sfuggire al rilevamento degli antivirus e renderne difficoltosa l’analisi. Come fatto da altri partecipanti al thread, Forceful ha pubblicato una schermata con i risultati di un servizio di scansione antivirus usato per provare l’efficacia del criptatore su un campione di malware. L’errore di Forceful è stato quello di non cancellare l’eseguibile usato per il test, bensì di distribuirlo in-the-wild. Una volta rilasciato, è stato captato dal servizio di rilevamento malware dell’ASERT così come da altri. Il dominio C2 del malware è “kypitest[.]ru”.
Gli attacchi. L’ASERT tiene sotto controllo le botnet DDoS e le relative attività attraverso il sistema di monitoraggio dedicato BladeRunner e kypitest[.]ru non fa eccezione. Il primo attacco che viene registrato da questa botnet risale al 9 luglio 2015 e da allora l’attività si è mantenuta costante. Da quel momento sono stati osservati attacchi diretti contro 108 host/IP unici in oltre 10 paesi.
Un secondo errore OPSEC fornisce conferme. Un sedicente operatore DDoS che pubblica l’hash di un malware DDoS conosciuto offre un solido elemento di contatto tra la pubblicità di un servizio DDoS e la relativa botnet; tuttavia un secondo errore OPSEC compiuto dallo stesso operatore ha contribuito a rafforzare il legame già visto con kypitest[.]ru. L’11 novembre 2015, infatti, all’interno di un forum, Forceful ha aperto un thread completo dei log con i messaggi scambiati via ICQ, lamentandosi del fatto che un altro forum (tophope[.]ru) aveva indebitamente rimosso una pubblicità del suo servizio DDoS.
Questo il sunto del suo messaggio: Ho quindi deciso di controllare il [link al] mio vecchio thread per scoprire che è stato cancellato senza alcun preavviso. Ho provato a contattare qualcuno nella chat – nessuna risposta – ho provato a contattare l’amministratore Nerom, anche qui nessuna risposta. Allora ho deciso di mettere “sotto pressione” il loro forum per 1-2 ore, giusto per un test. Dopo un paio di minuti l’amministratore mi ha contattato arrabbiato.
Due giorni dopo, l’11 novembre 2015, BladeRunner ha osservato un attacco DDoS multi-pronged ordinato dal C2 kypitest[.]ru contro il forum di cui sopra e l’indirizzo IP del relativo hosting.
La stima. Prima di analizzare i numeri, si osservi l’andamento di un attacco specifico. Alle 08:47 circa dell’8 agosto 2015 viene lanciato un attacco “.httpflood” contro un mining pool di cybervalute. L’attacco prosegue per due giorni e 21 ore circa fino alle 06:07 dell’11 agosto 2015. Secondo un post pubblicato sul canale Reddit del mining pool l’8 agosto, sembra che tale attacco abbia purtroppo avuto successo.
Il listino prezzi dell’operatore è pubblicato nell’annuncio pubblicitario del DDoS:
- Giornaliero – $60/ Settimanale – $400
- 10% di sconto su ordini da $500/ 15% di sconto su ordini da $1000
L’inserzione non specifica un costo orario, pertanto è stato calcolato un prezzo di 2,50 dollari ($60/24 ore = $2,50). A queste cifre, i ricavi stimati dall’attacco sopra considerato sono stati i seguenti: 2 giorni x $60 + 21 ore x $2,50 = $172,50 (arrotondato a $173)
Applicando questa metodologia agli altri attacchi osservati, si calcola che i ricavi stimati dagli 82 attacchi lanciati dal 9 luglio 2015 al 18 ottobre 2015 sono stati pari a 5.408 dollari, con un guadagno medio stimato per attacco di 66 dollari e un guadagno medio giornaliero stimato di 54 dollari.
In conclusione. Come si può leggere nell’ultima edizione del Worldwide Infrastructure Security Report (WISR) pubblicata da Arbor, il costo medio sostenuto dalla vittima di un attacco DDoS è di circa 500 dollari al minuto. Di contro, secondo le stime discusse in precedenza, il costo medio pagato da un attaccante è di soli 66 dollari per attacco. Questi dati mettono in evidenza l’estrema asimmetria economica degli attacchi DDoS tra chi li lancia e chi li subisce, così come l’importanza di disporre di robuste difese DDoS in tutte quelle organizzazioni il cui fatturato, servizio al cliente e altre funzioni di business importanti dipendano dalla propria presenza online. Sferrare un attacco DDoS costa così poco che la barriera di ingresso per chi vuole nuocere a qualcuno è praticamente nulla: questo significa che *qualsiasi* azienda può diventare potenzialmente vittima di un attacco DDoS dal momento che l’investimento necessario a lanciarlo è così basso.
È inoltre importante comprendere come l‘aspetto economico sia estremamente favorevole per l’operatore che gestisce gli attacchi: questo soggetto si avvale di PC, server e dispositivi IoT come i router domestici per la banda larga per creare un servizio DDoS commerciale senza incorrere in costi infrastrutturali o di banda dal momento che tale servizio sfrutta clandestinamente e illegalmente infrastrutture e connettività appartenenti ad altri; né ovviamente questo operatore paga le tasse sui profitti illecitamente raccolti. Considerando il fatto che centinaia o anche migliaia di attaccanti possono utilizzare il medesimo servizio per lanciare attacchi DDoS, un servizio esentasse e privo di costi come questo può arrivare a guadagnare somme davvero considerevoli.
