Un nouveau botnet vient de lancer la plus grosse attaque DDoS de l’histoire

Pour savoir tout ce qu'il se passe sur la toile
Répondre
Avatar du membre
chtimi054
Administrateur du site
Administrateur du site
Messages : 5967
Enregistré le : ven. 26 juil. 2013 06:56
    Windows 10 Firefox

Un nouveau botnet vient de lancer la plus grosse attaque DDoS de l’histoire

Message par chtimi054 »

Un nouveau botnet vient de lancer la plus grosse attaque DDoS de l’histoire

Mēris, retenez ce nom. Il s'agit du plus gros botnet de l'histoire récente. En n'utilisant qu'un fraction de sa puissance de frappe, il a écrasé le record de la plus grosse attaque DDoS de l'histoire.

21,8 millions de requêtes par seconde, de quoi surcharger et faire tomber de gigantesques réseaux informatiques. Courant septembre, le moteur de recherche russe Yandex n’a cessé de subir des vagues de connexions malveillantes, jusqu’à ce pic de connexions, d’une ampleur jamais vue. Dans le jargon, on parle d’attaque par déni de service (ou DDoS) pour désigner ce genre d’actes malveillants. Les cybercriminels les lancent grâce à des botnets, des ensembles de machines corrompues qui obéissent à leur centre de commandes, et leur permettent de créer des effets de masse.

Après le pic inédit, Qrator Labs, l’entreprise russe en charge de protéger Yandex contre les attaques a mené son enquête, dont elle a publié les conclusions dans un billet de blog. Elle est remontée jusqu’à l’opérateur du botnet coupable de l’attaque, qu’elle a décidé de nommer Mēris (« la peste », en lettonien).
ImageAvec un pic à 21,8 millions de requêtes par seconde, un nouveau record a été battu. // Source : Qrator Le gang a avant tout comme objectif d’extorquer de l’argent. Il menace au préalable ses victimes par email : elles peuvent payer une rançon dans un certain délai ou alors le groupe déchaînera son botnet. Mēris se distingue par une puissance de frappe bien supérieure à celles observées ces dernières années, qui lui permet de s’en prendre à des groupes de grande taille, avec de larges infrastructures.

L’avantage pour les cybercriminels, c’est que ce genre de victime ne peut pas se permettre, d’un point de vue économique, de passer hors ligne. Résultats : elles seront plus enclines à payer la rançon demandée en cryptomonnaies.

Un « botnet d’un nouveau genre »

Qrator Labs décrit son opposant comme un « botnet d’un nouveau genre », et s’inquiète qu’il puisse « surcharger n’importe quelle infrastructure ». Habituellement, les DDoS consistent à lancer du trafic pour dépasser le nombre de connexions que peut encaisser un serveur. Le flux (mesuré en gigaoctets par seconde) devient trop important, et finit par couper le serveur d’internet.

Les attaques lancées par Mēris sont d’un autre genre : le « RPS » (requêtes par seconde). Elles consistent à envoyer des requêtes dont le but est de surcharger la capacité de calcul d’un serveur, et d’ainsi faire surchauffer sa mémoire et son CPU, deux composants au cœur du fonctionnement des ordinateurs. Autrement dit, les requêtes vont aspirer la capacité de calcul de la machine jusqu’à ce qu’il ne puisse plus encaisser de requête supplémentaire et tombe en panne.

Le botnet n’a utilisé qu’un huitième de sa force de frappe

Le pire dans l’histoire, c’est que Mēris n’utiliserait qu’une petite fraction de sa puissance de frappe. Le pic de requête a été atteint par la coordination de 30 000 machines. Problème : Qrator estime que le botnet compte en réalité plus de 250 000 machines, soit plus de 8 fois de plus. C’est une taille réellement impressionnante : les botnets récents dépassent rarement les 50 000 machines. Autrement dit, Mēris se ménage, probablement pour ne pas trop attirer l’attention des autorités.

Les chercheurs suspectent les appareils corrompus de tous être du même petit constructeur lettonien, MikroTik. Ce serait des machines de relativement grosses tailles, branchées à des connexions internet performantes, là où le plus souvent les machines qui composent les botnets sont des appareils connectés peu puissants, connectés à un réseau Wi-Fi. L’entreprise n’a pas encore réagi à cette hypothèse.

merci à Numerama
Image
Répondre