Prolexic: Atacurile DDoS au crescut ca dimensiune si complexitate

Furnizorul de solutii de protectie impotriva atacurilor DDoS, Prolexic Technologies, a anuntat luni ca in ultima saptamana a inregistrat un aflux de atacuri DDoS neobisnuit de mari si extrem de sofisticate.

Potrivit Prolexic, atacurile DDoS au fost lansate folosind setul de instrumente DDoS itsoknoproblembro, iar semnaturile de atac sunt extrem de complexe. Atenuand atacuri DDoS pentru clientii sai, Prolexic a inregistrat flood-uri sustinute ce ajung si la 70 Gbps.

Setul de instrumente itsoknoproblembro poate ataca infrastructuri multiple si la nivel de aplicatie, prin flood-uri SYN, care pot viza simultan mai multe porturi si mai multe obiective, spune Prolexic. Aparent, o caracteristica comuna a atacurilor este flood-ul UDP care vizeaza infrastructurile DNS.

Ceea ce face instrumentul itsoknoproblembro si mai greu de detectat este faptul ca botnetul contine mai multe adrese IP legitime, care permit unui atac sa treaca de cele mai multe mecanisme anti-spoofing.

Incepand de luni (9 iulie), sute de mii de oameni vor ramane fara acces la Internet

Incepand de saptamana viitoare, computerele inca infectate cu infamul malware DNSChanger, vor fi in imposibilitatea de a se conecta la website-uri. Astfel, sute de mii de oameni vor avea luni neplacuta surpriza sa constate ca PC-urile de acasa sau de la birou nu se pot conecta la Internet. Conexiunea de retea va fi in regula, dar incercarile de a vizita site-urile favorite vor fi zadarnice.

Aceste persoane vor fi victime colaterale ale botnet-ului DNSChanger, care intre anul 2007 si luna octombrie a anului trecut, a infectat 4 milioane de calculatoare din 100 de tari, potrivit FBI. Adesea, fara stirea victimelor, computerele erau transformate in roboti care erau instruiti de servere dedicate de comanda si control sa viziteze website-uri si sa dea clickuri pe anunturi. Aceasta escrocherie avea ca scop generarea frauduloasa de venituri din publicitate online.

Cum functioneaza DNSChanger?

Odata patruns in interiorul unui sistem, malware-ul modifica setarile care spun unui computer ce Domain Name System (DNS) sa contacteze. Serverele DNS, dintre care multe sunt detinute si operate de furnizorii de servicii de Internet, conecteaza utilizatorii care tasteaza sau dau click pe un nume de domeniu, la adresa IP care corespunde site-ului vizat. In schimba, calculatoare infectate cu DNSChanger contactau servere DNS controlate de catre infractorii cibernetici, care le programau sa trimita utilizatorii pe domenii false sau sa inlocuiasca anunturile legitime cu unele rau intentionate.

In loc sa elimine serverele DNS utilizate de DNSChanger, la care milioane de calculatoare inca se conectau, agentii federali le-au inlocuit cu unele legitime, pe care insa le vor scoate din folosinta pe data de 9 iulie 2012, lasand astfel fara Internet sute de mii de utilizatori. (la sfarsitul lunii iunie, mai mult de 200.000 de adrese IP erau inca afectate, dar din moment ce mai multe dispozitive pot folosi aceeasi adresa IP, numarul de masini infectate este probabil mult mai mare)

Pentru a elimina acest malware este necesar un anumit set de instrumente, care ar putea fi greu de obtinut fara o conexiune la Internet. Avand in vedere ca DNSChanger a afectat calculatoare din 100 de tari, este recomandat sa ne scanam si noi sistemele, pentru a ne asigura ca luni nu vom avea parte de vreo surpriza neplacuta.

Google alerteaza utilizatorii care ar putea fi infectati cu DNSChanger

Google a lansat o campanie de informare pentru a identifica sistemele compromise de DNSChanger si pentru a alerta utilizatorii inainte ca serverele DNS sa fie oprite si PC-urile lor sa nu mai poata accesa website-uri. Serverele DNS folosite de malware vor fi inchise in curand, computerele infectate nemaiputand comunica cu internetul, astfel ca Google doreste sa ajute utilizatorii sa-si curete PC-urile si sa le conecteze la servere DNS legitime.

Google este practic sinonim cu internetul. Pentru multi utilizatori - in special pentru cei care nu dispun de cunostinte tehnice legate de internet, pentru a intelege problemele de securitate sau pentru a determina daca PC-urile lor au fost compromise de DNSChanger - Google este internetul. Asta ii confera lui Google o anumita responsabilitate civică si il pune intr-o pozitie unica de a fi capabil sa ajute utilizatorii.

Google va verifica pentru a vedea daca un PC foloseste serverele DNSChanger. Sistemele banuite a fi infectate vor afisa un mesaj in partea de sus a paginii rezultatelor de cautare Google, care va spune “Your computer appears to be infected.” (Calculatorul dvs. pare a fi infectat)

Google explica: "Noi credem ca daca informam direct utilizatorii afectati, pe un site de incredere si in limba lor preferata, vom avea cele mai bune rezultate posibile."

Timpul trece, iar in aproximativ 6 saptamani, o jumatate de milion de utilizatori ar putea constata ca PC-urile lor sunt in imposibilitatea de a se conecta la website-uri. Totusi, exista sanse mari ca acesti 500.000 de utilizatori sa efectueze o cautare pe Google in urmatoarele cateva saptamani si sa ia in serios avertizarea Google, luand masurile necesare pentru a elimina virusul DNSChanger.

Daca primiti o avertizare de la Google sau banuiti ca PC-ul dvs. ar putea fi compromis de DNSChanger, vizitati site-ul DNS Changer Working Group (DCWG). Acesta contine o varietate de instrumente pentru a va ajuta sa eliminati malware-ul si sa va curatati sistemul.

Anonymous ameninta ca va lansa un atac DDoS asupra serverelor root de Internet

Viitoarea campanie anuntata de catre grupul de hacking Anonymous impotriva sistemului principal al Internetului de cautare adrese este putin probabil sa provoace daune mari, conform spuselor unui expert in securitate.

Intr-un avertisment postat pe Pastebin joia trecuta, Anonymous a declarat ca va lansa pe 31 martie un atac, ca parte din "Operatiunea Global Blackout", care va viza serverele root DNS (Domain Name System). Gruparea a declarat ca atacul a fost planificat ca un protest fata de "liderii nostri iresponsabili si dragii nostrii bancheri, din cauza carora oamenii mor de foame, doar pentru ca acestia sa-si satisfaca propriile lor nevoi egoiste, din pura distractie sadica".

Un DNS traduce un nume de site, cum ar fi www.megahost.ro, intr-o adresa IP numerica (Internet Protocol), care este utilizata de computere pentru a gasi respectivul site.

Desi exista 13 servere root, un atac asupra unuia nu le-ar afecta pe celelalte 12. In plus, un atac ar avea mai putin succes din cauza fenomenului "anycasting", care permite ca traficul de pe un server root sa fie redirectionat catre un alt server care contine o replica a acelorasi date. Exista sute de alte servere dedicate din intreaga lume care detin aceleasi date ca si serverele root, crescand astfel elasticitatea DNS.

Nu in ultimul rand, serverele root DNS sunt urmarite indeaproape. In cazul in care apar probleme, traficul malware de pe aceste servere root este blocat imediat, intreruperea durand cateva minute, deoarece sute de experti IT isi vor uni imediat fortele pentru a contracara orice tip de atac.