Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Radiografía del impacto de los ataques DDoS basados en motivos políticos

Un profesional del grupo SERT de Arbor Networks publicó un análisis sobre los ciberataques relacionados con el conflicto entre Hamas e Israel.

El conflicto internacional entre israelitas y palestinos no solamente se libra con armas y misiles, también el ciberespacio es campo de batalla entre estas dos naciones. De hecho, conforme aumenta la intensidad del conflicto entre Israel y Hamas, también crece el número, tamaño y duración de los ataques DDoS dirigidos Israel.

De acuerdo con el artículo Ataques DDoS y geopolítica: análisis de los ataques en el contexto del conflicto entre Israel y Hamas, publicado por Kirk Soluk en el blog de Arbor Networks, incluso parece que los atacantes cibernéticos tratan de cumplir con las treguas cuando en el mundo real se pide un alto al fuego, reanudando sus ataques si no se concreta la tregua.

Soluk, miembro del grupo de Security Engineering and Response Team (SERT) de Arbor, explica que desde su creación, el equipoASERT ha estudiado eventos DDoS por motivos políticos, como la relación entre la geopolítica y la evolución del panorama de las amenazas. “En 2013 se publicaron tres informes relacionados con disturbios en Siria y Tailandia, así como la actividad de las amenazas asociadas a la cumbre del G-20”, explica en el blog. Recientemente, añade, otros equipos de investigación de seguridad, proveedores de seguridad y agencias de noticias empiezan a hablar de las conexiones entre el mundo cibernético y los conflictos geopolíticos en Irak, Irán, y Ucrania.

Con base en la información recopilada por ATLAS Arbor sobre la actividad DDoS, Soluk explica que el número de ataques cibernéticos contra Israel se levantó la primera semana de julio, al pasar de un promedio de 30 ataques iniciados por día en junio, a un promedio de 150 ataques iniciados por día en julio, con un máximo de 429 ataques el 21 de julio. Posteriormente, entre el 28 de julio y el 2 de agosto, el número de ataques disminuye drásticamente; esta caída se relaciona con las conversaciones fallidas de cese al fuego que se llevaron a cabo en esos días. El 2 de agosto, los ciberataques volvieron a aumentar bruscamente.

La figura 1 muestra el número de ataques DDoS iniciados contra Israel por día durante el período del 1 de junio al 3 de agosto de 2014.

El artículo de Soluk expone que, además del número de ataques DDoS iniciados por día, también registraron un aumento en el tamaño máximo de estos ataques. La figura 2 muestra que en junio ningún ataque excedió 12 Gbps. En julio, siete ataques superaron 12 Gbps, siendo el 12 de julio el mayor pico con 22,56 Gbps.

La figura 2 muestra los tamaños de ataque Peak (Gbps) para los ataques lanzados en un día determinado.

Otro de los resultados del mapa ATLAS mostró que la duración de los ataques también aumentó en función de la intensidad del conflicto. En junio, la duración promedio de los ataques fue de 20 minutos con una duración máxima de 24 horas. En julio, la duración media fue de 1 hora y 39 minutos; “el ataque del 19 de julio aún se reporta como ni mitigado, después de aproximadamente dos semanas”, expresa Soluk.

La figura 3 indica la duración máxima (en minutos) para los ataques lanzados en un día determinado.

Metodologías de ataque y objetivos

En el blog, Kirk Soluk explica que la gran mayoría (47%) de los ataques implicaron el uso de fragmentos IP, lo que sugiere el uso de técnicas de reflexión/amplificación. En un ataque de reflexión/amplificación, hosts configurados de forma incorrecta en las redes configuradas de forma incorrecta se utilizan para aumentar el tráfico de ataques. La técnica permite al atacante disimular su presencia y generar una cantidad significativa de tráfico de ataques mediante la emisión de pequeñas consultas a cualquier número de estos huéspedes intermediarios, cada uno de los cuales, devuelve (amplificados) mayor respuesta a la víctima.

DNS y NTP fueron los protocolos más comunes que se utilizaron para llevar a cabo los ataques de reflexión/amplificación dirigidas a Israel durante este período de tiempo.

Otras metodologías de ataque observadas incluyeron consultas con formato incorrecto DNS contra servidores web (no servidores DNS), ataques de capa 7, HTTP y HTTPS contra los subsistemas y los scripts de autenticación basados ​​en Web y descargas repetidas de páginas de URL inexistentes. “Este patrón de ataque tiene un parecido sorprendente con los ataques basados ​​en Brobot utilizados en la campaña Operación Ababil contra la industria financiera de Estados Unidos en 2013. El 30 de junio, la revista Forbes informó que Brobot estaba de vuelta y cuestionaba quién lo controlaría esta vez. No sabemos quién lo está controlando, pero Brobot está siendo utilizado para atacar a las agencias israelíes civiles gubernamentales, organismos militares, los servicios financieros y la infraestructura DNS TLD de Israel”, concluyó Soluk.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close