A10 Networks ha reso noti i risultati del nuovo report sullo stato degli attacchi DDoS. Ne emerge il crescente utilizzo dei dispositivi IoT negli attacchi sincronizzati su obiettivi globali. Il report descrive il potenziale che gli aggressori possiedono nell’utilizzare un protocollo correlato all’IoT, il cosiddetto Constrained Application Protocol (CoAP), distribuito sui dispositivi IoT per attacchi sistemici.
Il report di A10 Networks sulle principali sorgenti di weapons DDoS, in relazione al primo trimestre del 2019, analizza il tipo di attacchi e weapons utilizzabili e da dove essi provengano. Il report mette in evidenza il fatto che mentre le tipologie più diffuse di weapons sfruttano altre tecnologie più consolidate e protocolli internet come Network Time Protocol (NTP), risolutori DNS (Domain Name System) e SSDP (Simple Services Discovery Protocol), i dispositivi basati su CoAP rappresentano un nuovo tipo di weapon negli arsenali delle reti botnet.
Il tipo più comune di attacco che utilizza molti di questi weapons è un attacco di amplificazione reflective, attraverso il quale gli aggressori falsificano l’indirizzo IP di un bersaglio e inviano richieste di informazioni a server vulnerabili, che a quel punto inviano risposte amplificate all’indirizzo IP della vittima, azzerando completamente le capacità di difesa del server bersagliato.
“Gli attacchi DDoS stanno aumentando di frequenza, intensità e sofisticazione”, ha affermato Rich Groves, direttore della ricerca e dello sviluppo di A10 Networks. “I sistemi infettati da malware e i server vulnerabili continuano a generare attacchi particolarmente potenti contro obiettivi a loro volta molto vulnerabili. La crescita dei dispositivi IoT che utilizzano protocolli come CoAP rappresenta una nuova area di attacco, molto veloce nell’espandersi e che prevediamo svolgerà un ruolo determinante negli attacchi DDoS in futuro. Come altri tipi di weapon , CoAP è intrinsecamente suscettibile alla falsificazione dell’indirizzo IP e al packet amplification, i due principali fattori che consentono l’amplificazione di un attacco DDoS.”
CoAP è un protocollo Machine-to-Machine (M2M) che può essere eseguito su dispositivi intelligenti in cui le risorse di memoria e computing sono scarse. L’ultimo report di A10 ha rivelato che oltre 400.000 weapons sono utilizzati negli attacchi.
Tipologie e localizzazione delle sorgenti weapons di attacco DDoS
Il report di A10 Networks ha registrato circa 22,9 milioni di weapons DDoS nel primo trimestre del 2019:
- Le prime cinque tipologie di weapons da monitorare sono: 1) risolutori DNS; 2) weapons basati su NTP; 3) weapons basati su SSDP; 4) dispositivi SNMP (Simple Network Management Protocol); 5) dispositivi TFTP ( Trivial File Transfer Protocol).
- La Cina è il primo Paese al mondo in termini di quantità di weapons ospitati al suo interno, seguita dagli Stati Uniti, rispettivamente con 6,179,850 e 2,646,616 weapons tracciati. Altri importanti Paesi ospitanti, in ordine di potenza, sono la Spagna, Russia, Repubblica di Corea, Italia e India.
“Essere in possesso di un inventario sempre aggiornato dei milioni di weapons DDoS è una parte fondamentale in qualsiasi strategia di difesa DDoS” prosegue Groves, evidenziando l’importanza del monitoraggio dei weapons DDoS in tutto il mondo. “Creando delle blacklist complete di sospetti indirizzi IP, è possibile attivare contromisure per bloccare gli attacchi sul nascere. A tal fine, A10 Networks, insieme a partner esperti nell’individuazione delle minacce DDoS, analizza i dati emersi dalle varie indagini, traccia le attività dei bot-herder e scansiona la rete per individuare tutti i possibili weapons in tempo reale.”
