A empresa francesa de cloud computing OVHcloud anunciou que mitigou um ataque distribuído de negação de serviço (DDoS) recorde em abril de 2024, alcançando uma taxa de pacotes de 840 milhões de pacotes por segundo (Mpps).
Esse valor é ligeiramente superior ao recorde anterior de 809 milhões de Mpps, relatado pela Akamai como direcionado a um grande banco europeu em junho de 2020.
O ataque de DDoS de 840 Mpps teria sido uma combinação de um flood TCP ACK originado de 5.000 IPs fonte e um ataque de reflexão DNS aproveitando cerca de 15.000 servidores DNS para amplificar o tráfego.
"Embora o ataque tenha sido distribuído mundialmente, 2/3 do total de pacotes vieram de apenas quatro [pontos de presença], todos localizados nos EUA, sendo três deles na costa oeste", observou a OVHcloud.
Isso destaca a capacidade do adversário de enviar uma enorme taxa de pacotes através de apenas alguns peerings, o que pode se mostrar muito problemático.
A empresa disse que observou um aumento significativo nos ataques DDoS em termos de frequência e intensidade a partir de 2023, adicionando que aqueles que ultrapassam 1 terabit por segundo (Tbps) tornaram-se uma ocorrência regular.
"Nos últimos 18 meses, passamos de ataques de 1+ Tbps sendo bastante raros, depois semanais, para quase diários (média de uma semana)", disse Sebastien Meriot da OVHcloud.
A maior taxa de bits que observamos durante esse período foi de ~2,5 Tbps. Diferentemente dos ataques DDoS típicos que dependem de enviar um fluxo de tráfego inútil aos alvos com o objetivo de esgotar a largura de banda disponível, os ataques de taxa de pacotes funcionam sobrecarregando os motores de processamento de pacotes dos dispositivos de rede próximos ao destino, como balanceadores de carga.
Os dados reunidos pela empresa mostram que os ataques DDoS aproveitando taxas de pacotes maiores que 100 Mpps têm testemunhado um aumento acentuado para o mesmo período de tempo, com muitos deles emanando de dispositivos comprometidos MikroTik Cloud Core Router (CCR).
Até 99.382 roteadores MikroTik estão acessíveis pela internet.
Esses roteadores, além de expor uma interface de administração, operam em versões desatualizadas do sistema operacional, tornando-os susceptíveis a vulnerabilidades de segurança conhecidas no RouterOS.
Suspeita-se que os atores de ameaças estejam provavelmente explorando a funcionalidade de teste de largura de banda do sistema operacional para realizar os ataques.
Estima-se que mesmo o sequestro de 1% dos dispositivos expostos em uma botnet DDoS poderia, teoricamente, fornecer aos adversários capacidades suficientes para lançar ataques de camada 7 alcançando 2,28 bilhões de pacotes por segundo (Gpps).
Vale ressaltar neste ponto que os roteadores MikroTik foram utilizados para construir botnets potentes como o Mēris e até usados para lançar operações de botnet-como-serviço.
"Dependendo do número de dispositivos comprometidos e suas capacidades reais, poderíamos estar entrando em uma nova era para ataques de taxa de pacotes: com botnets possivelmente capazes de emitir bilhões de pacotes por segundo, isso poderia desafiar seriamente como as infraestruturas anti-DDoS são construídas e escaladas", disse Meriot.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...