CERT Orange Polska poinformował, że w Wigilię Bożego Narodzenia, 24 grudnia, operator musiał zmagać się z rekorodwym atakiem Distributed Denial of Service (DDoS) – 1,5 terabita na sekundę.
– Data, którą napastnicy wybrali na rekordowy atak DDoS, nie była przypadkowa. Okres świąteczny to tradycyjnie moment obniżonej czujności oraz funkcjonowania operacyjnych zespołów cyberbezpieczeństwa w ograniczonych składach. Pamiętajmy też o dużym obciążeniu sieci ruchem „legalnym”. Odnotowany atak osiągnął poziom 1,5 Tbps / 134,5 Mpps – odnotowuje CERT Orange.
I jak podkreśla, te liczby same w sobie obrazują zmianę w krajobrazie DDoS-ów. Nie mówimy już o incydentach, które „zapychają łącze klienta”. To są już wolumeny, które w przypadku braku odpowiedniej ochrony mogą stanowić realne zagrożenie dla infrastruktury operatorskiej.
Celem ataku był pojedynczy adres IP. To istotny szczegół wskazujący, że w praktyce celem mógł być dowolny pojedynczy użytkownik sieci funkcjonujący za tym adresem. Taki model ataku pokazuje, że dziś ofiara nie musi posiadać własnej infrastruktury ani publicznych usług, aby stać się celem. Z technicznego punktu widzenia był to klasyczny atak wolumetryczny, którego celem było wyczerpanie dostępnej przepustowości. Zastosowano jednocześnie kilka technik: IP Fragmentation, Total Traffic Flood, DNS Flood, UDP Flood, NetBIOS Amplification.
Cert Orange zauważa, że ataki liczone w setkach gigabitów są już codziennością, a – jak widać – atakującym zdarza się uderzać z mocą terabitów na sekundę. Co więcej, tak silne ataki przestają być domeną globalnych graczy i coraz częściej pojawiają się w sieciach krajowych.
Paradoksalnie mimo rosnącej skali DDoS-y wciąż nie są postrzegane jako jedno z kluczowych zagrożeń. Dlaczego? Ponieważ nie prowadzą do kradzieży danych, nie szyfrują systemów czy nie zostawiają artefaktów na systemach.
– Z perspektywy użytkownika sieci taki atak często pozostaje niezauważalny – po prostu „nic się nie stało”. Usługi działają, nie ma przerw ani komunikatów. Ale to właśnie jest najlepszy dowód, że zespoły bezpieczeństwa po stronie operatora wykonały swoją pracę, a ochrona zadziałała, powstrzymując rekordowy atak DDoS. Brak wpływu nie oznacza braku ataku. Dowodzi jedynie, że po stronie operatora wdrożona została odpowiednia architektura, przygotowane narzędzia, a za komputerami siedział zespół, który wie, co robi – podkreśla Orange.
