Lumen stoppe une attaque DDoS de 1,06 Tbps, la plus grande atténuation réalisée par l’entreprise à ce jour. La victime visée n’a subi aucun temps d’arrêt malgré la persistance de l’attaquant.
Communiqué – Dans son dernier rapport trimestriel DDoS, Lumen Technologies a révélé que l’entreprise a atténué l’une des plus importantes attaques jamais réalisées – atteignant 1,06 térabits par seconde (Tbps), qui faisait partie d’une campagne plus importante visant une seule et même victime. Malgré la taille et la complexité de la tentative d’attaque, la cible n’a subi aucun temps d’arrêt.
La taille n’était pas le seul élément notable de cette attaque ratée ; elle faisait également partie d’une campagne plus vaste dans laquelle l’acteur de la menace a tenté de tirer parti de multiples techniques. Ces techniques sont présentées dans le rapport comme des tendances émergentes au deuxième trimestre.
Tendance n° 1 : exploiter le cloud
Les attaquants exploitent les services basés sur le cloud de manière frauduleuse afin de renforcer considérablement leur capacité d’attaque.
Pour réussir ce type d’attaque, les cybercriminels masquent le fait qu’ils aient l’accès et le contrôle des services basés sur le cloud par le biais d’hôtes compromis ou de services d’anonymisation. L’attaquant abuse ensuite des ressources des fournisseurs de services cloud pour lancer des attaques volumétriques contre les victimes visées.
« L’utilisation des fournisseurs de cloud et d’hébergement pour lancer des attaques DDoS de grande ampleur soulève un nouveau un défi : désormais la victime et le fournisseur sont tous les deux en danger », a déclaré Mark Dehus, Director of Threat Intelligence pour Black Lotus Labs, équipe de recherche sur les menaces de Lumen. « Les fournisseurs cloud doivent être vigilants pour s’assurer que leurs services ne sont pas utilisés de manière abusive. Ils doivent également disposer de méthodologies d’atténuation pour limiter l’impact si un acteur de la menace obtient un accès non autorisé ou frauduleux aux ressources. »
Tendance n°2 : Hit-and-run
L’analyse de Black Lotus Labs a révélé que l’attaque de 1,06 Tbps faisait partie d’une campagne plus vaste qui a duré 12 minutes. Elle a commencé lorsque l’acteur de la menace a tenté de déployer une série d’attaques hit-and-run. Avec cette technique, les victimes sont généralement ciblées par une série d’attaques consécutives ou simultanées, de taille et de durée relativement faibles. Les acteurs de la menace déploient ces attaques pour évaluer les défenses d’une victime potentielle et déterminer quelles méthodes d’attaque – le cas échéant – seront efficaces.
La plus longue campagne atténuée par Lumen au deuxième trimestre a duré 21 jours et 8 heures.
Tendance n°3 : le ciblage de la VoIP se poursuit
Fin 2021, plusieurs chercheurs (dont certains appartenant à l’équipe Lumen) ont commencé à signaler une augmentation du nombre d’attaques visant les fournisseurs de VoIP. Au deuxième trimestre 2022, un vecteur d’attaque – le protocole d’ouverture de session (SIP) – s’est distingué. Bien que le nombre d’attaques SIP atténuées par Lumen fut relativement faible (seulement 1,84% sur l’ensemble des atténuations), elles ont augmenté de 315% par rapport au premier trimestre 2022, et de 475% par rapport au troisième trimestre 2021.
Bien que la proportion d’attaques SIP soit faible par rapport aux autres méthodes éprouvées, celle-ci est considérée comme une approche plus « chirurgicale » pour perturber les services VoIP par rapport aux méthodes DDoS de force brute comme l’inondation TCP-SYN et l’amplification basée sur UDP.
« Tous les types d’entreprises peuvent être victimes d’attaques DDoS. En utilisant l’intelligence et la visibilité de la plateforme Lumen, Black Lotus Labs peut protéger les clients de Lumen DDoS grâce aux informations sur les menaces, toujours plus nombreuses, pesant sur les systèmes et les données critiques des entreprises. »