Marcadores

Operação Dragons Distribuído - empresa Tiger Segurança descobriu uma série de ataques DDoS da China .


Especialistas em segurança na empresa italiana Tiger Segurança avistaram uma nova onda de ataques DDoS que se originaram na China e que aparecem como executado por bem organizado APT. "Dragões Operação Distribuídos" O perito identificou a operação com o nome de código, os atores de ameaça por trás dos ataques têm a capacidade de evoluir suas técnicas, táticas e procedimentos (TTP).
Conforme explicado pelos pesquisadores os métodos de infecção muda continuamente, enquanto ele está se expandindo o perímetro de sua infra-estrutura física.
Os maus atores inicialmente dirigido servidores Linux, mas os ataques também envolvido em máquinas Windows e  dispositivos embarcados  com arquitetura ARM (por exemplo, roteadores e cames IP), dessa forma os hackers são capazes de executar ataques DDoS que atingem picos de tráfego de mais de 200 Gb / s, sem a utilização de  técnicas de amplificação .
Os Dragões Operação Distribuído já alvo de mil máquinas em todo o mundo, Canadá, Holanda, Hungria e Alemanha são os países que acolhem estes maior número de PCs comprometidos.
Operação Distribuído Dragões infecções
Ataques pertencentes à Operação Dragões Distribuído ainda estão em curso e de acordo com os especialistas o número de novas máquinas infectadas pelos atores dab está aumentando rapidamente.
"As metas finais da campanha são vários e variam significativamente entre os setores e incluem provedores de Internet, empresas de armazenamento em nuvem e jogadores de lazer e indústria do jogo.", Afirma  o relatório emitido pela Segurança Tiger sobre a Operação Dragões Distribuído .
A cadeia de ataque é composta de três etapas principais:
  • Reconhecimento: A faixa de endereços IP é digitalizado pelos atacantes procuram sistemas vulneráveis. Os maus atores usados ​​ataques de "força bruta" para comprometer as máquinas que exploram vários tipos de falha, incluindo fracas credenciais de login e out-of-date versões de produtos.
  • Malware infecção: atores ameaça infecte a máquina, recrutando-o como parte de uma botnet controlada por uma série de comando e controle (C & C) Servidores detectadas pelos pesquisadores. Os servidores C & C foram distribuídos em vários países, incluindo Cina, Coréia do Sul, Estados Unidos, Indonésia, Rússia, Alemanha, Brasil, França e assim por diante.
  • Fogo: Agentes Bot executar o ataque DDoS. O especialista notou vários tipos de ataques, incluindo SYN Flood, DNS Flood, UDP Flood e ICMP Flood.
Os especialistas revelaram que em muitos casos, os ataques DDoS foram agendadas em 09:00 horário de Pequim e durar cerca de 3 horas com picos de tráfego, mesmo sem amplificação.
Os atores de ameaças estão se especializando a sua actividade em sistemas e aplicações que não estejam sujeitos a controlos contínuos, atualizações e upgrades pelos administradores e por esta razão que são mais vulneráveis ​​a esse tipo de ataque.
Lendo os detalhes técnicos do relatório, é possível notar que o ator ameaça utilizada backdoor diferente para vários sites, incluindo alguns do Governo chinês.
"Esses backdoor, pronto para ser usado via web conchas - incluindo o famoso" China Chopper ", foram inseridos através da exploração de vulnerabilidades, incluindo o tipo 0-day, como o caso de dedecms.", Afirma o documento.
Na tabela a seguir é relatada a lista das vulnerabilidades exploradas por atacantes divididas através do serviço:
Operação Distribuído Dragões infecções exploits
Quem está por trás dos ataques?
"Os objetivos de toda a operação, pelo menos nesta fase de investigação, parecem ser bastante inconsistente. Além disso, as vítimas aparecem significativamente distantes em termos de modelo de negócio, setores e interesses. Tudo isso parece sugerir que a onda de ataques tem sido impulsionada por meras razões econômicas: esta conclusão, se comprovada wright, parece apoiar a tese de que os ciber-criminosos fornecem um "serviço" aos seus "clientes" contra algum tipo de recompensa, provavelmente financeira, e pode ser contratado para prosseguir os objectivos específicos de seus "clientes", como aconteceria em qualquer negócio legítimo. ", afirma o documento destacando a natureza financeira dos ataques.
Tenho contactado Emanuele Gentili - co-fundador & Partner, Chief Executive Officer da segurança Tiger para solicitar mais informações sobre a operação.
Q: O ator ameaça por trás da operação Distribuído Dragons usou exploits públicos disponíveis obtenção de 200 Gbits DDoS. Qual é o seu ponto de vista sobre esses tipos de ameaças emergentes? 
A:  mal configurado máquinas infecções vantagem em grande escala, que permitem que os atacantes para compor poderosa botnet. Muito interessante é a extensão dos ataques à  Internet das Coisas  dispositivos que carecem de definições de segurança eficazes.
Q: Você tem destacado referências inéditas sobre os instrumentos utilizados pelo grupo criminoso cibernético por trás da Operação Dragões Distribuída. Vários software utilizado para a C & C parecem muito diferentes uns dos outros, apesar de o malware eles controlam são idênticos, o que é a razão de tal diferenciação?  
 
R:  A nossa investigação, acreditamos que os diversos softwares criados e utilizados como C & C são o resultado da melhoria contínua ao longo do tempo. Muitos painéis de controle parecem mínimas, outras muito mais avançado em termos de funcionalidade. Um desses C & C também inclui recursos sofisticados, como um construtor para a entrega de infecções eo tempo de agendamento de ataques. 
Dê uma olhada para  o relatório emitido pela Segurança Tiger on the Dragons Operação Distribuídos , ela é cheia de detalhes interessantes sobre sua investigação.
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas