نشاط هجمات DDoS (distributed denial-of-service ) في عام 2020

ازدياد نشاط مجرمي الانترنت و الهاكرز خاصة هجمات DDoS خلال فترة وباء كورونا لعام 2020

كثّف مجرمو الإنترنت نشاطهم خلال فترة الوباء العالمي في استخدام واحدة من أقدم تقنيات الهجوم. كانت هجمات رفض الخدمة الموزعة (DDoS) عنصرًا أساسيًا في مجموعات أدوات المهاجم لفترة أطول من أي تقنية هجوم أخرى ومع ذلك، فإن شعبيتها بين مجرمي الإنترنت لا تُظهر أي علامة من علامات التراجع.

ما الذي يقصد ب DDoS :

 اختصار لجملة : distributed denial-of-service  وهو بشرح مبسط هجوم إلكتروني يسعى فيه المخترق إلى جعل الشبكة غير متاحة على جهاز الضحية . وذلك عن طريق تعطيل خدمات الاتصال بالإنترنت مؤقتًا أو إلى أجل غير مسمى. وعادة ما يتم تنفيذ DDoS عن طريق إغراق الجهاز المستهدف بطلبات زائدة في محاولة منه لزيادة التحميل على الأنظمة ومنع تلبية بعض أو كل الطلبات.

في الواقع، شهد عام 2020 ما يصفه بعض مقدمي الخدمات بأنه نهضة لتقنية الهجوم الموقر. وسط التغييرات الرئيسية التي عززتها الجائحة العالمية. قام مجرمو الإنترنت بشن المزيد من هجمات DDoS ضد المزيد من المنظمات بأعداد أكثر من أي وقت مضى. أصبحت هجمات DDoS أكبر من حيث الحجم، كما زاد عدد الهجمات التي تتجاوز 50 جيجابت في الثانية بشكل كبير أيضًا.

لم يكن على المنظمات المستهدفة في هجمات DDoS التعامل فقط مع حملات أكبر حجمًا، ولكن أيضًا الهجمات التي تستهدف اكثر من هدف في نفس الوقت – وفي بعض الحالات استمرت لفترة أطول من أي وقت مضى. أحد الأمثلة على ذلك هو الهجوم الذي واجهه أكاماي العام الماضي، والذي تجاوز 1.4 تيرا بايت في الثانية و809 مليون حزمة في الثانية.

جمعت الهجمات، التي استهدفت بنكًا أوروبيًا كبيرًا وشركة استضافة على الإنترنت، ما يصل إلى تسعة أهداف هجوم مختلفة، بما في ذلك ACK Flood و NTP Flood و SYN Flood و UDP Flood و SSDP Flood .

يقول أكاماي إن 65٪ من هجمات DDoS التي تم تخفيفها في عام 2020 تضمنت اهداف متعددة – أحدها وصل الى 14 هدف. كان أحد أكثر الاتجاهات إثارة للقلق بالنسبة للمنظمات التي أبلغ البائعون عن ملاحظتها هو زيادة ما يسمى بهجمات DDoS التي تطلب فدية (RDDoS) ، حيث حاول الخصوم ابتزاز الأموال من المنظمات من خلال تهديدهم بهجمات DDoS الضخمة. أبلغ مقدمي خدمات متعددون، بما في ذلك Akamai و Cloudflare و Neustar ، عن زيادة خفيفة في هذه الهجمات بدءاً من منتصف عام 2020 تقريباً.

تصاعدت هجمات RDDoS في الربع الرابع من عام 2020 حيث حاولت المجموعات التي تدعي أنها Fancy Bear و Cozy Bear و Lazarus Group ابتزاز المنظمات في جميع أنحاء العالم،” كما يقول يواكيميك((Omer Yoachimik ألا وهو مدير المنتج ومزود خدمة آخر لاحظ نفس الشيئ.

مع استمرار بقاء العديد من القوى العاملة عن بُعد، يركز مجرمو الإنترنت على مهاجمة البنية التحتية للمؤسسات، والتي تُستخدم لإبقاء الموظفين متصلين ومنتجين أثناء العمل من المنزل.

ومن جهة أخرى، تقول كلاودفلير أنها لاحظت انخفاضًا في العدد الإجمالي لهجمات DDoS التي تستهدف الشبكة خلال الربع الرابع من عام 2020 مقارنة بالربع السابق. كان هناك ارتفاع كبير بذات الوقت في هجمات الشبكة التي بلغ متوسطها أكثر من 500 ميجابت في الثانية و 50000 حزمة في الثانية وفي الهجمات التي استمرت لأكثر من 24 ساعة إذ يقول يوكميك “بينما انخفض العدد الإجمالي لهجمات L3 / L4 DDoS ، شهد عدد الهجمات الكبيرة ارتفاعًا”. قد يكون هذا مؤشرا على أن الجهات الفاعلة السيئة تشن هجمات أقل ولكن أكبر – الهجمات التي يتم توزيعها وتدوم طويلا وتستخدم موجهات هجوم متعددة. يقول يوكميك إنه من الصعب الجزم لماذا بدأ عدد الهجمات الكبيرة في الازدياد. لكنه يشير إلى اثنين من الأسباب المحتملة. في موريشيوس، الدولة التي بها أعلى مستوى من هجمات DDoS، قد تكون سلسلة من الاحتجاجات المناهضة للحكومة مرتبطة بنشاط DDoS المتزايد. بينما تحتل رومانيا المرتبة الثانية في قائمة البلدان التي يتم فيها إطلاق معظم هجمات DDoS، لأنه لديها أرخص وأسرع إنترنت علاوة عن كونه واسع النطاق. ويضيف أن هذا جعل من السهل على الخصوم شن هجمات ضخمة من داخل رومانيا.

 تضخيم الهجمات RDP

في عام 2020 كشفت دراسة أجرتها نيتسكوت أن الخصوم قاموا أيضًا بالاعتداء على خاصية استخدام بروتوكول Microsoft RDP لتضخيم  هجوم DDoS
حيث إنه عند تمكينها على منفذ UDP 3389  يمكن الإفراط في استخدام خدمة RDP لتضخيم الهجمات بنسبة تقارب 86: 1، حسبما أشارت الشركة في تقرير حديث. إلى جانب التسبب في مشاكل للمنظمات المستهدفة. قامت الهجمات التي تستفيد من بروتوكول RDP أيضًا بإلحاق أضرار جانبية بالمنظمات التي تم استخدام خوادمها لشن الهجمات. وشمل ذلك الانقطاع الجزئي وحتى الكامل لخدمات الوصول عن بعد وانقطاع آخر في الخدمة بسبب مشكلات استهلاك قدرة المخدم . يقول ريتشارد هوميل، وهو مدير استخبارات التهديدات في نيتسكوت: “لقد رأينا هذا الموجه منذ [النصف الثاني] من عام 2019 لكن عدد الهجمات زاد بنسبة 17٪ فقط في [النصف الثاني] من عام 2020. لاحظنا ما يقارب 12000 هجوم باستخدام هذا المنحى في عام 2020. ” يقول أن أحد العوامل التي تدفع الاهتمام بمنحى الهجوم هذا هو سهولة الوصول إلى خدمات RDP المكشوفة عبر الإنترنت.”

تخفيف هجمات DDoS :

يقول هاميل شهدنا ارتفاعاً كبيراً في الهجمات التي تستفيد من هذا المنحى في الأسابيع الأخيرة،مما دفعنا إلى الاعتقاد بأنه تم تسليحها بطريقة تمكّن الأدوات والخدمات الآلية الآن من الاستفادة من هذا البروتوكول لإساءة استخدام أهداف هجمات DDoS ، ويوصي مشغلو الشبكات بأن يقوموا بإجراء استطلاع لتحديد خوادم Windows RDP التي يمكن إساءة استخدامها على الشبكات الخاصة بهم أو من قبل عملائها المتلقين للمعلومات. ” يجب أن يكون الوصول إليها فقط عبر خدمة الشبكة الافتراضية VPN من أجل حمايتها من إساءة الاستخدام”. يدعو هاميل أنه إذا كان لا يمكن نقل خوادم RDP التي توفر الوصول عن بُعد عبر UDP على الفور خلف مكثفات VPN، فمن المستحسن بشدة تعطيل RDP عبر UDP / 3389 كإجراء مؤقت. يشير كاتشميريك إلى العديد من التحسينات التي تم إجراؤها في سبيل تخفيف الهجمات لمساعدة المؤسسات على تقليل التعطيل الناتج عن هجمات DDoS ومن بينها إمكانية تحديد الهجمات في وقت أقرب – مثل الهجمات التجريبية الصغيرة التي يشنها الفاعلون السيئون قبل الهجوم الحقيقي – بحيث يمكن تنفيذ التدابير الدفاعية بسرعة أكبر. وبشكل مماثل، فإن توافر خدمات التخفيف التي تعمل دائمًا والتطور في أمان التطبيقات وجدران حماية تطبيقات الويب قد أحدث فرقًا.