Selon une étude du F5 Labs, les dénis de service représentaient 77 % des attaques ayant ciblé des opérateurs de télécommunication en 2019.
Tribune – La dernière étude du F5 Labs[1] montre une très nette augmentation des attaques par déni de service distribué (DDoS) contre les opérateurs de télécommunication mondiaux.
L’étude porte sur les incidents de sécurité à l’échelle mondiale au cours des trois dernières années, aussi bien dans le domaine de la téléphonie fixe que mobile. Elle met également en lumière d’autres menaces répandues telles que la compromission de terminaux et les attaques par injection web. En revanche, l’étude révèle que les attaques par force brute, bien que toujours très présentes, sont à la baisse.
« Les opérateurs de télécommunication ont fait d’importants progrès dans la protection de leurs réseaux, mais ils doivent faire des progrès pour détecter les attaques à un stade plus précoce, sans pour autant compromettre la capacité à s’adapter et à répondre aux demandes des clients », déclare Malcolm Heath, Senior Threat Research Evangelist, F5 Labs, à la veille du Mobile World Congress 2020.
Démocratisation du DDoS
Les attaques par déni de service distribué (DDoS) ont été de loin la menace principale pour les opérateurs entre 2017 et 2019, représentant 49 % de tous les incidents signalés sur cette période. Et si l’on y regarde de plus près, en 2019 ce type d’attaque a fait un bond considérable, passant de « seulement » 25 % en 2017 à 77 % de l’ensemble des incidents.
Les attaques par déni de service dans l’espace des opérateurs de télécommunication ont tendance à cibler des ressources accessibles aux clients (comme le DNS) ou à se concentrer sur les applications qui permettent aux utilisateurs, par exemple, de consulter leurs factures ou de surveiller leur consommation.
La plupart des attaques proviennent des propres abonnés de l’opérateur. Nombre d’entre elles, en particulier dans le cas d’incidents liés au DNS, utiliseront ses propres ressources pour en attaquer d’autres.
L’étude du F5 Labs montre que la plupart des DDoS signalés ciblaient le DNS, sous la forme d’attaques par réflexion et « Water torture ».
Les attaques par réflexion utilisent les ressources hébergées par l’opérateur (comme le DNS ou le protocole de synchronisation du temps NTP) pour rediriger à leur insu le trafic usurpé, de sorte que les réponses du service détourné finissent par parvenir à la cible et non à l’initiateur.
L’attaque dite de « water torture » est quant à elle une variante de l’attaque par réflexion qui utilise des requêtes intentionnellement incorrectes pour générer une charge accrue sur les serveurs DNS de la cible. Cependant, les requêtes passent toujours par les serveurs DNS locaux de l’opérateur, ce qui génère une charge accrue et peut provoquer un déni de service.
Pour ce dernier, la première indication d’une attaque est généralement une augmentation du trafic réseau. D’autres signaux d’alerte peuvent remonter, telles des plaintes de clients au sujet de la lenteur du service réseau ou la non-réponse des serveurs DNS.
« C’est pourquoi la capacité à comparer rapidement les caractéristiques du trafic habituel réseau avec les déviations pendant une attaque est d’une importance capitale. Il est aussi crucial de journaliser de manière approfondie des services de réseau comme le DNS afin d’identifier les requêtes inhabituelles », explique Malcolm Heath.
2ème place pour les attaques par force brute
Parmi les autres vecteurs identifiés, les attaques par force brute, qui consistent à essayer un nombre massif de noms d’utilisateur et de mots de passe jusqu’à tomber sur une combinaison existante, ont été le deuxième incident le plus signalé.
Dans ce type d’attaques, les pirates utilisent souvent des identifiants dérobés par ailleurs, qui sont ensuite utilisés pour cibler les services via une tactique appelée « bourrage d’identifiants » (credentials stuffing). Mais d’autres formes d’attaques par force brute peuvent utiliser simplement des listes d’identifiants par défaut bien connus (par exemple admin/admin), des mots de passe couramment utilisés (le fameux « 1234 ») ou encore des mots de passe générés de manière aléatoire.
F5 Labs a observé une baisse notable des attaques par force brute, passant de 72 % de tous les incidents en 2017 à seulement 20 % en 2019. Cela ne concerne toutefois pas le monde de la finance, où ce type d’attaque a connu à l’inverse une hausse en 2019.
F5 Labs a noté que les premières indications de ces types d’attaques sont généralement des plaintes provenant de clients dont le compte a été bloqué plutôt qu’une quelconque détection automatisée.
« Une augmentation des échecs de tentatives de connexion sur une courte période de temps, par rapport aux niveaux d’activité normaux, devrait être signalée et faire l’objet d’une action immédiate. Il est également important d’initier l’utilisation généralisée de l’authentification multifactorielle pour tenir les attaquants persistants à distance », complète Malcolm Heath.
Bots IoT : l’ombre de Mirai
Dans le domaine de l’Internet des objets (IoT), l’influence d’un bot nommé Annie, une variante de Mirai, a continué de se faire sentir. Découvert pour la première fois en 2016, le bot visait les protocoles personnalisés TR-069 et TR-064 utilisés par les FAI pour gérer à distance de grandes flottes de routeurs sur le port 7547.
Bien que l’auteur du bot Annie ait admis en décembre 2016 ne pas l’utiliser, le ciblage du port 7547 est toujours d’actualité et continue de s’intensifier en 2019. L’intérêt des attaquants pour le port de gestion à distance Mikrotik 8291 a également augmenté de manière exponentielle au cours des six derniers mois.
Selon F5 Labs, les ports 7547 et 8291 ont été les principaux ports ciblés au Moyen-Orient et en Amérique latine au cours du 4e trimestre de 2019, ce qui indique une utilisation variable de ces ports d’une région à l’autre.
« Les FAI en Europe ont certainement appris de leur expérience avec Annie il y a quelques années, et les attaquants savent que ces ports sont très susceptibles d’être bloqués en Europe. Les FAI du Moyen-Orient et d’Amérique latine ont probablement quant à eux encore du travail à faire », explique Malcolm Heath.
[1] F5 Labs a analysé les données de l’équipe de réponse à incidents (F5 SIRT), en examinant plus particulièrement les incidents de 2017, 2018 et 2019 publiés par les fournisseurs mondiaux de services de télécommunications (à la fois fixes et mobiles).