Rapport DDoS NETSCOUT : les cybercriminels ont poursuivi leurs offensives avec une précision accrue et des méthodes d’attaque novatrices au 1er semestre 2022

0
205

Les attaques par épuisement d’état TCP, les attaques DNS Water Torture et les attaques par carpet bombing dominent le paysage des menaces par déni de service distribué (DDoS). L’Irlande, l’Inde, Taiwan et la Finlande ont subi des attaques DDoS liées à la guerre qui oppose la Russie à l’Ukraine.

Communiqué – NETSCOUT SYSTEMS, INC.,, l’un des principaux fournisseurs de solutions de cybersécurité, de service assurance et d’analyse opérationnelle, publie les conclusions de son étude semestrielle 1H2022 DDoS Threat Intelligence Report consacrée au paysage des attaques par déni de service distribué (DDoS) au premier semestre 2022. Ces conclusions montrent à quel point les cybercriminels ont mis au point des méthodes sophistiquées pour contourner les lignes de défense en utilisant de nouveaux vecteurs d’attaque DDoS et des méthodologies fructueuses.

« En innovant et en s’adaptant constamment, les attaquants conçoivent de nouveaux vecteurs d’attaque par DDoS encore plus efficaces, ou perfectionnent des méthodes éprouvées, explique Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. Au premier semestre 2022, ils ont effectué davantage de missions de reconnaissance en amont de leurs offensives, déployé un nouveau vecteur d’attaque baptisé TP240 PhoneHome, provoqué une vague d’attaques de type TCP Flood, et rapidement étendu l’utilisation de très puissants botnets en vue de harceler les ressources connectées. De plus, les auteurs de ces menaces ont ouvertement procédé à des agressions en ligne en lançant des campagnes d’attaques DDoS très médiatisées, en relation avec les troubles géopolitiques et dont les répercussions ont été ressenties au niveau planétaire. »

Le système ATLAS™ (Active Level Threat Analysis System) de NETSCOUT compile des statistiques relatives aux attaques DDoS générées par la plupart des fournisseurs d’accès internet (FAI) du monde entier, ainsi que par de grands datacenters et des réseaux gouvernementaux ou d’entreprise. Ces données fournissent des renseignements sur les attaques qui ont eu lieu dans plus de 190 pays et touché 550 secteurs industriels et 50 000 systèmes autonomes (ASN — Autonomous System Numbers). L’équipe ASERT (ATLAS Security Engineering and Response Team) de NETSCOUT analyse et conserve ces données dans le but de générer des informations uniques qui nourrissent son étude semestrielle.

Principales conclusions de l’étude 1H2022 NETSCOUT DDoS Threat Intelligence :

  • Plus de 6 millions (6 019 888) d’attaques DDoS ont eu lieu à travers le monde au 1er semestre 2022.
  • Avec environ 46 % de l’ensemble des offensives, les attaques de type TCP Flood (SYN, ACK, RST) demeurent le vecteur d’attaque le plus courant, confirmant une tendance amorcée début 2021.
  • Les attaques DNS Water Torture se sont accélérées en 2022 avec une hausse de 46 % des attaques utilisant principalement la technique « UDP Query Flood » ; les attaques par carpet-bombing ont fait leur grand retour vers la fin du deuxième trimestre ; globalement, les attaques par amplification DNS ont reculé de 31 % entre le 2e semestre 2021 et le premier semestre 2022.
  • Le nouveau vecteur d’attaque DDoS par réflexion/amplification TP240 PhoneHome a été découvert début 2022 avec un rapport d’amplification record de 4 293 967 296:1 ; des actions rapides ont permis d’éradiquer sans délai l’impact de cette agression.
  • Les botnets de logiciels malveillants ont proliféré à un rythme alarmant, passant de 21 226 à 488 381 nœuds entre le premier et le deuxième trimestre, avec pour corollaire une hausse du nombre d’attaques directes au niveau de la couche applicative.

L’instabilité géopolitique favorise l’augmentation des attaques DDoS

Lorsque les troupes russes sont entrées en Ukraine à la fin du mois de février, les attaques DDoS ciblant des services gouvernementaux, des médias en ligne, des entreprises financières, des prestataires de services d’hébergement et des entreprises liées aux cryptomonnaies ont connu une forte augmentation, comme nous l’indiquions fin mars. Cependant, l’effet domino de la guerre a eu des conséquences spectaculaires sur les attaques DDoS menées dans d’autres pays. En voici quelques exemples :

    • L’Irlande a enregistré une augmentation des attaques après avoir fourni de l’aide à des entreprises ukrainiennes.
    • L’Inde a connu une augmentation significative des attaques DDoS après s’être abstenue lors des votes du Conseil de sécurité et de l’Assemblée générale des Nations unies condamnant les actions de la Russie en Ukraine.
    • Le même jour, Taiwan a subi un nombre record d’attaques DDoS à la suite de déclarations publiques favorables à Kiev, tout comme le Belize.
    • La Finlande a enregistré une augmentation de 258 % des attaques DDoS en un an, coïncidant avec l’annonce de sa demande d’adhésion à l’OTAN.
    • La Pologne, la Roumanie, la Lituanie et la Norvège ont été la cible d’attaques DDoS liées à Killnet, un groupe d’attaquants en ligne d’obédience russe.
    • Tandis que la fréquence et la gravité des attaques DDoS lancées en Amérique du Nord sont restées relativement constantes, les opérateurs de télécommunications par satellite ont connu une augmentation des attaques DDoS à fort impact, notamment après avoir apporté leur soutien à l’infrastructure de communications ukrainienne.
    • En Russie, les attaques DDoS quotidiennes ont pratiquement triplé depuis le début du conflit avec l’Ukraine, une tendance qui s’est poursuivie jusqu’à la fin de la période couverte par l’étude.

En Asie, dans un contexte marqué par la montée des tensions entre Taiwan, la Chine et Hong Kong au premier semestre 2022, des attaques DDoS ont été régulièrement menées contre Taiwan à l’occasion d’événements publics connexes.