Trong một lời nhắc nhở rõ ràng về mức độ dễ bị tổn thương của các dịch vụ trực tuyến, Qrator Labs đã tiết lộ rằng một botnet tấn công từ chối dịch vụ phân tán (DDoS) Layer 7 rộng lớn đã phát triển lên hơn 5.76 triệu thiết bị bị xâm nhập. Botnet này đã giải phóng lưu lượng truy cập chưa từng có nhắm vào các cơ sở hạ tầng quan trọng, gây ra các tấn công mạng nghiêm trọng.

Được giám sát kể từ cuối tháng 3, botnet đã được sử dụng trong một loạt ba cuộc tấn công quy mô lớn, thể hiện cả sự phát triển nhanh chóng của nó và thách thức đáng gờm mà nó đặt ra đối với các chiến lược giảm thiểu DDoS hiện tại.

Sự Phát Triển Đáng Báo Động của Botnet DDoS Layer 7

Cuộc Tấn Công Đầu Tiên: Mục tiêu là Ngành Cá cược Trực tuyến

Cuộc tấn công đầu tiên của botnet được phát hiện vào ngày 26 tháng 3. Khoảng 1.33 triệu địa chỉ IP duy nhất đã tập trung vào các ứng dụng web của một tổ chức cá cược trực tuyến.

Dữ liệu đo từ xa của Qrator Labs cho thấy phần lớn các thiết bị tham gia đến từ Brazil, Argentina, Nga, Iraq và Mexico.

Trong vài phút, các máy chủ mục tiêu đã bị tràn ngập bởi các yêu cầu HTTP GET. Những yêu cầu này được thiết kế để làm cạn kiệt tài nguyên lớp ứng dụng, dẫn đến giảm chất lượng dịch vụ và gián đoạn tạm thời cho người dùng cuối.

Các nhóm bảo mật đã phải vật lộn để áp dụng các quy tắc giới hạn tốc độ và chữ ký tường lửa ứng dụng web (WAF). Tuy nhiên, khối lượng lớn các kết nối đồng thời đã gây căng thẳng ngay cả đối với các cơ sở hạ tầng được cung cấp tốt.

Botnet Mở Rộng Quy Mô và Nhắm vào Cơ sở Hạ tầng Chính phủ

Sự Tái Xuất Hiện với Quy mô Lớn hơn

Chưa đầy hai tháng sau, vào ngày 16 tháng 5, botnet tái xuất hiện với quy mô tăng đáng kinh ngạc. Lần này, nó đã khai thác 4.6 triệu thiết bị.

Nạn nhân được chọn là một tổ chức trong lĩnh vực chính phủ. Các cổng thông tin mã nguồn mở và dịch vụ hướng tới công dân đã bị tấn công bởi một làn sóng yêu cầu độc hại.

Sự phân bố địa lý của botnet đã thay đổi một cách khiêm tốn. Brazil vẫn là quốc gia đóng góp lưu lượng tấn công hàng đầu, nhưng Hoa Kỳ, Việt Nam, Ấn Độ và Argentina cũng cung cấp nguồn lực botnet đáng kể.

Các nhà phân tích ghi nhận rằng các mẫu lưu lượng truy cập bao gồm sự kết hợp các cường độ yêu cầu. Điều này cho thấy các chỉ thị kiểm soát và điều khiển mô-đun có khả năng khuếch đại tinh chỉnh.

Mặc dù phản ứng sự cố nhanh chóng và chuyển hướng lưu lượng truy cập đến các trung tâm loại bỏ, cuộc tấn công mạng vẫn kéo dài hơn bốn giờ. Điều này buộc một số cơ quan phải thực hiện chuyển đổi dự phòng khẩn cấp sang các trung tâm dữ liệu thay thế.

Đỉnh Cao Sức Mạnh: Hơn 5.76 Triệu Thiết Bị Tham gia

Đầu tháng 9, Qrator Labs đã quan sát thấy chiến dịch mạnh mẽ nhất của botnet từ trước đến nay. Trong lần thứ ba, một lần nữa nhắm vào các dịch vụ liên quan đến chính phủ, các tác nhân đe dọa đã chia chiến dịch thành hai đợt liên tiếp. Tham khảo chi tiết tại: Qrator Labs Blog.

Đợt đầu tiên liên quan đến khoảng 2.8 triệu địa chỉ IP, gửi hàng triệu yêu cầu mỗi giây để làm cạn kiệt các điểm cuối ứng dụng.

Khoảng một giờ sau, thêm 3 triệu thiết bị bị xâm nhập đã tham gia, nâng tổng lực lượng tấn công lên 5.76 triệu. Đây là một quy mô khổng lồ của một tấn công mạng.

Brazil cung cấp phần lớn lưu lượng bot (1.41 triệu IP), tiếp theo là Việt Nam (661.000), Hoa Kỳ (647.000), Ấn Độ (408.000) và Argentina (162.000).

Trong khoảng thời gian ba tháng giữa chiến dịch thứ hai và thứ ba, Việt Nam và Ấn Độ đã cho thấy sự tăng trưởng mạnh nhất, lần lượt là 83% và 202%. Điều này làm nổi bật các khu vực nơi sự xâm nhập thiết bị tăng tốc nhanh nhất, cho thấy tiềm ẩn một mối đe dọa mạng gia tăng.

Thách Thức và Giải pháp cho Mối đe dọa mạng DDoS Quy mô Lớn

Tính Chất Hủy Diệt của Botnet Khổng lồ

“Khi nhắm mục tiêu vào các tài nguyên không được bảo vệ hoặc được bảo vệ kém, một botnet DDoS ở quy mô này có thể tạo ra hàng chục triệu yêu cầu mỗi giây, làm quá tải máy chủ trong vài phút,” Andrey Leskin, CTO tại Qrator Labs, cảnh báo.

“Hơn nữa, không phải mọi nhà cung cấp bảo vệ DDoS đều có khả năng chống chịu một cuộc tấn công mạng lớn như vậy. Điều này có nghĩa là tính khả dụng của tất cả tài nguyên của khách hàng của họ có thể gặp rủi ro đồng thời.” Đây là một mối đe dọa mạng đáng kể.

Sự phát triển của botnet này nhấn mạnh mối đe dọa dai dẳng của các cuộc tấn công Layer 7 quy mô lớn. Chúng khai thác các kỹ thuật HTTP flood ở cấp độ ứng dụng để vượt qua các biện pháp phòng thủ cấp mạng.

Các Biện pháp Bảo vệ và Chiến lược Bảo mật mạng Hiệu quả

Các tổ chức dựa vào dịch vụ WAF dựa trên đám mây hoặc các trung tâm loại bỏ của bên thứ ba phải xác nhận rằng khả năng bảo vệ DDoS của họ có thể mở rộng động để hấp thụ các đợt tăng lưu lượng truy cập đột ngột.

Các thành phần quan trọng của một lớp phòng thủ đa tầng bao gồm phát hiện bất thường lưu lượng truy cập, nhận dạng dấu vân tay hành vi và chặn địa lý.

Hơn nữa, các doanh nghiệp nên áp dụng các cuộc diễn tập phản ứng sự cố chủ động và cộng tác với các chuyên gia giảm thiểu DDoS. Điều này nhằm tinh chỉnh các quy tắc loại bỏ dựa trên ngưỡng, tăng cường bảo mật mạng toàn diện.

Khi botnet tiếp tục tuyển mộ các thiết bị dễ bị tổn thương trên toàn thế giới, các nhóm bảo mật phải luôn cảnh giác và đầu tư vào các khung giảm thiểu mạnh mẽ. Điều này là cần thiết để bảo vệ các ứng dụng hướng web, đảm bảo an toàn thông tin trước các tấn công mạng.

Cuộc tấn công kỷ lục với 5.76 triệu thiết bị là một lời cảnh tỉnh rằng kẻ thù vẫn có thể khai thác các cơ sở hạ tầng phân tán khổng lồ. Chỉ có các biện pháp phòng thủ toàn diện, thích ứng mới có thể khôi phục niềm tin vào tính khả dụng của các dịch vụ trực tuyến quan trọng.