شرکت Akamai Technologiesهر سه ماه یک بار گزارشی را با عنوان «وضعیت اینترنت» منتشر میکند. در این مطالعه، دادههایی از سراسر دنیا جمعآوری و تحلیل شده و در نهایت گزارشی شامل اطلاعاتی آماری درباره ترافیک حملهها، سرعت اینترنت و غیره منتشر میشود. این شرکت به تازگی گزارش خود را درباره سهماهه چهارم سال 2012 منتشر کرده است. در ادامه، خلاصهای از مهمترین بخشهای امنیتی این گزارش را مطالعه میکنید.
ترافیک حمله، کشورهای برتر مبدأ حملات
در طول سهماهه چهارم 2012، Akamai مشاهده کرده است که ترافیک حمله از 177 کشور/ منطقه یکتا نشأت گرفته است که این تعداد در سهماهه پیش از آن، 180 کشور بود. همانطور که در شکل زیر مشاهده میکنید، چین همچنان مبداء بیشترین حجم ترافیک حمله است و مسئول تقریبا دو پنجم از کل حملات به حساب میآید که این میزان در سهماهه سوم 2012 یک سوم بود. ایالات متحده با کاهش ترافیک حمله از 13% در سهماهه سوم به 10% در سهماهه چهارم همچنان در مکان دوم باقی مانده است. 10 کشور برتر تولید کننده ترافیک حمله نسبت به سهماهه پیش از آن به جز در یک مورد تغییری نکردهاند و کره جنوبی که در سهماهه سوم در مکان دهم قرار داشت جای خود را به مجارستان داده است. در میان این ده کشور، چین بیشترین افزایش ترافیک حمله را داشته است، اما ترکیه و رومانی نیز با افزایش کمی در ترافیک حمله روبرو بودهاند. ایالات متحده آمریکا نیز شاهد بیشترین کاهش در ترافیک حمله بوده است. جدول 1: کشورهای برتر مبدأ ترافیک حمله در سهماهههای سوم و چهارم 2012
در بررسی توزیع منطقهای ترافیک حمله مشاهده شده در سهماهه چهارم، به این نتیجه میرسیم که 56% از حملات از منطقه آسیا/ اقیانوسیه نشأت گرفتهاند که این میزان در سهماهه سوم 51% بود. کمتر از 25% از حملات از اروپا و بیش از 18% از آمریکای شمالی و جنوبی و فقط 1% از آفریقا نشأت گرفتهاند.
نگاهی به کل سال 2012 نشان میدهد که چین دارای بیشترین تغییر و رشد در میان کشورهای برتر بوده و در حالیکه در نیمه اول مبدأ نزدیک به 16% از ترافیک حمله مشاهده شده بوده است، در سهماهه سوم این میزان دو برابر شده و در سهماهه چهارم باز هم افزایش یافته است. روسیه نیز شاهد تغییرات کاهشی قابل توجهی در سال 2012 بود و از 7.2% در سهماهه نخست این سال، به 4.3% در آخرین سهماهه رسید. در مقابل ایالات متحده آمریکا در طول سال 2012 مسئول 10% تا 13% ترافیک حملات بود. ترافیک حمله، پورتهای برتر هدف حملات
همانطور که در شکل بعد مشاهده میکنید، تمرکز ترافیک حمله در میان 10 پورت برتر هدف حملات در طول سهماهه چهارم 2012 افزایش مختصری یافته است و از 59% در سهماهه سوم، به 60% در سهماهه چهارم رسیده است که البته این میزان پایینتر از سهماهههای اول و دوم است. درصد حملاتی که پورت 445 را هدف قرار میدهند در این سهماهه کاهش مختصری داشته است، البته این میزان به اندازه کاهشهای مشاهده شده در سهماهههای پیشین نبوده است. جدول 2: پورتهای برتر هدف حملات در سهماهههای سوم و چهارم 2012
پورت 445 همچنان بیشترین هدف حملات در 7 کشور از 10 کشور برتر تولید کننده حملات بوده است و 67 برابر پورت پس از خود هدف حملات قرار گرفته است. (مجدداً این فاصله در رومانی مشاهده شده است که البته نسبت به سهماهه سوم کاهش یافته است) پورت 23 در حملات نشأت گرفته از ترکیه و تایوان در صدر هدف حملات قرار داشت. نکته جالب اینجاست که اگرچه در ترکیه پورت 445 دومین پورت هدف حمله بوده است، اما در تایوان این پورت حتی در فهرست ده پورت برتر قرار نداشته و پورت 135 در رده دوم قرار گرفته است. در چین، پورت 1433 مجدداً بیشترین هدف حملات بوده است و 1.4 برابر پورت پس از خود (3389) در این کشور هدف حملات قرار گرفته است. هر دو پورت 3389 و 135 دومین پورت هدف حمله در سه کشور بودهاند (3389 در چین، ایالات متحده آمریکا و برزیل و 135 در تایوان، ایتالیا و مجارستان). پورت 23 دومین پورت هدف حملات در دو کشور رومانی و هند بوده است.
حملات انکار سرویس توزیع شده
تعداد حملات انکار سرویس توزیع شده مشاهده شده در سال 2012 نسبت به سال 2011 افزایش قابل توجهی داشت. در حالیکه 250 حمله در سال 2011 توسط مشتریان Akamai گزارش شده بود، در سال 2012 تعداد 768 حمله توسط آنها گزارش شد که بیش از 200% افزایش نشان میدهد.
حملات انکار سرویس توزیع شده به اسلحه بسیاری از مهاجمان، از فعالان سیاسی گرفته تا مجرمان سایبری و حملات دولتی تبدیل شده است. یکی از بزرگترین مثالهای حملات فعالان سیاسی، حملات گروه انانیموس است که در سال 2010 آغاز شد و تا امروز ادامه دارد. زمانی که حملات مربوط به مجرمان سایبری است، هدف معمولاً کلاهبرداری یا به دست آوردن پول است. در تعطیلات کریسمس یک مؤسسه مالی توسط مهاجمان هدف حملات انکار سرویس توزیع شده قرار گرفت تا ردپای خود را بپوشانند.
همانطور که شکل زیر نشان میدهد، بیش از یک سوم (269 حمله یا 35%) از 768 حملهای که مشتریان Akamai گرفتار آن شدهاند، شرکتهایی را در بخش تجاری هدف قرار دادهاند. 164 حمله (22%) نیز شرکتهای رسانهای و سرگرمی را هدف قرار دادهاند و پس از آن، بنگاههای بزرگ اقتصادی با 155 حمله (20% کل حملات) در رده بعدی قرار گرفتهاند. در سال گذشته شرکتهای فناوریهای High Techتوسط 110 حمله (14%) هدف قرار گرفتهاند، درحالیکه آژانسهای بخش عمومی هدف 70 حمله (9%) قرار گرفتهاند. این 768 حمله توسط 413 سازمان یکتا گزارش شدهاند که به این معنا است که بسیاری از سازمانها بیش از یک بار هدف این حملات قرار گرفتهاند.
شکل 1: سهم انواع شرکتهایی که هدف حملات انکار سرویس توزیع شده قرار گرفتهاند
همانطور که شکل زیر نشان میدهد، آن دسته از مشتریان Akamai که بنگاههای بزرگ اقتصادی هستند از حملات انکار سرویس توزیع شده ضربه قابل توجهی خوردهاند. سرویسهای مالی از 72 حمله منفرد ضربه خوردهاند که بسیاری از آنها مستقیماً با حملات عملیات ابابیل که در سپتامبر آغاز شد، در ارتباط بودهاند. این عملیات به شکل مفصل در گزارش سهماهه سوم توضیح داده شد. شرکتهای سرویسها تجاری توسط 40 حمله هدف قرار گرفتهاند، در حالیکه صنایع عمومی و شرکتهای سلامت و پزشکی به دفعات کمتری هدف این نوع حملات قرار گرفتهاند. نکته جالب توجه این است که سایتهای شرکت Akamai نیز در طول این سال هدف 8 حمله انکار سرویس توزیع شده قرار گرفتهاند. شکل 2: سهم انواع بنگاههای بزرگ اقتصادی که هدف حملات انکار سرویس توزیع شده قرار گرفتهاند
عملیات ابابیل، فاز 2
از 10 دسامبر 2012 تا 11 ژانویه 2013، چندین مؤسسه مالی هدف حملات انکار سرویس توزیع شده بزرگی قرار گرفتند. این دومین فاز عملیات ابابیل بود که توسط گروهی هکتیویست به نام جنگجویان سایبری عزالدین قسام انجام شد. بتنت BroBot برای انجام این حملات مورد استفاده قرار گرفته است.
این گروه ادعا دارد که این حملات را در مقابله با ویدئوی توهین آمیز به رسول اکرم (ص) انجام میدهد و فقط درصورتی حاضر به اتمام این عملیات است که این فیلم حذف گردد.
فاز اول این عملیات از سپتامبر تا نوامبر 2012 ادامه داشت. در سپتامبر 2012 بانکهای ایالات متحده آمریکا موج گستردهای از حملات انکار سرویس توزیع شده را تجربه کردند. این حملات از تکنیکهای متعددی استفاده میکردند که دسترسپذیری و کارایی سایت را تحت تأثیر قرار میداد.
این گروه در فاز اول عملیات ابابیل به طور گستردهای از بتنت BroBot استفاده کرد. BroBot از VPN ها و سرورهای ابری تشکیل شده است که از نسخههای آسیبپذیر سیستمهای مدیریت محتوای وردپرس و جوملا و پلاگینهای مربوطه استفاده میکنند. تأثیرگذاری این بتنت به علت پهنای باند بالا به ازای هر سرور و تعداد زیاد سرورهای آسیبپذیر، در مقایسه با سایر بتنتها افزایش یافته است.
فاز دوم عملیات ابابیل در روز کریسمس (25 دسامبر) پس از توقفی که از ماه نوامبر اتفاق افتاده بود، از سر گرفته شد. این گروه مجدداً ازBroBot استفاده کرده و به حملات برای جلوگیری از فیلترینگ تنوع داده است.در طول فاز دوم، نودهای BroBot حجم بالایی از ترافیکهای ناگهانی (10 هزار درخواست در هر دقیقه به ازای هر نود) و در مجموع 18 میلیون درخواست در ثانیه ارسال میکردند. این حجم حملات برای مدت کوتاهی ادامه پیدا میکردند و در برخی ساعات یا برخی روزها در حالت کمون قرار میگرفتند.