Het Franse cloudcomputingbedrijf OVHcloud meldde dat het in april 2024 een recordbrekende distributed denial-of-service (DDoS)-aanval heeft afgewend, waarbij een pakketsnelheid van 840 miljoen pakketten per seconde (Mpps) werd bereikt.
Dit is iets meer dan het vorige record van 809 miljoen Mpps dat Akamai in juni 2020 meldde, gericht op een grote Europese bank.
De 840 Mpps DDoS-aanval zou een combinatie zijn geweest van een TCP ACK-flood die afkomstig was van 5.000 bron-IP’s en een DNS-reflectie-aanval waarbij gebruik werd gemaakt van ongeveer 15.000 DNS-servers om het verkeer te versterken.
“Hoewel de aanval wereldwijd werd verspreid, kwamen 2/3 van alle pakketten binnen vanaf slechts vier (points of presence), allemaal gelegen in de VS en 3 daarvan aan de westkust”, merkte OVHcloud op. “Dit benadrukt het vermogen van de tegenstander om een enorme pakketsnelheid te verzenden via slechts een paar peerings, wat zeer problematisch kan blijken te zijn.”
Het bedrijf meldt dat het vanaf 2023 een aanzienlijke toename in DDoS-aanvallen heeft waargenomen, zowel qua frequentie als intensiteit. Ook zijn aanvallen met een snelheid van meer dan 1 terabit per seconde (Tbps) inmiddels een vast verschijnsel geworden.
“In de afgelopen 18 maanden gingen we van 1+ Tbps-aanvallen die vrij zeldzaam waren, daarna wekelijks, naar bijna dagelijks (gemiddeld over een week)”, aldus Sebastien Meriot van OVHcloud. “De hoogste bitsnelheid die we in die periode zagen was ~2,5 Tbps.”
In tegenstelling tot typische DDoS-aanvallen, waarbij een stortvloed aan ongewenste data naar doelwitten wordt gestuurd om de beschikbare bandbreedte uit te putten, werken packet rate-aanvallen door de pakketverwerkingsengines van netwerkapparaten dicht bij de bestemming, zoals load balancers, te overbelasten.
Gegevens verzameld door het bedrijf tonen aan dat DDoS-aanvallen die gebruikmaken van pakketsnelheden van meer dan 100 Mpps een sterke toename hebben gezien in dezelfde periode, waarbij veel van hen afkomstig zijn van gecompromitteerde MikroTik Cloud Core Router (CCR)-apparaten. Maar liefst 99.382 MikroTik-routers zijn toegankelijk via internet.
Deze routers, naast het blootstellen van een beheerinterface, draaien op verouderde versies van het besturingssysteem, waardoor ze vatbaar zijn voor bekende beveiligingskwetsbaarheden in RouterOS. Er wordt vermoed dat dreigingsactoren de Bandwidth-testfunctie van het besturingssysteem als wapen gebruiken om de aanvallen uit te voeren.
Geschat wordt dat zelfs het kapen van 1% van de blootgestelde apparaten in een DDoS-botnet tegenstanders in theorie voldoende mogelijkheden zou geven om laag 7-aanvallen uit te voeren met een snelheid van 2,28 miljard pakketten per seconde (Gpps).
Het is in dit stadium van belang om te vermelden dat MikroTik-routers worden ingezet voor het bouwen van krachtige botnets zoals Mēris en zelfs voor het lanceren van botnet-as-a-service-operaties.
“Afhankelijk van het aantal gecompromitteerde apparaten en hun daadwerkelijke mogelijkheden, kan dit een nieuw tijdperk inluiden voor aanvallen met een hoge pakketsnelheid: botnets die mogelijk miljarden pakketten per seconde kunnen versturen, kunnen een grote uitdaging vormen voor de manier waarop anti-DDoS-infrastructuren worden opgebouwd en geschaald”, aldus Meriot.
