Posté le juillet 20, 2022 à 5:09
LE BOTNET MANTIS EST À L’ORIGINE D’UNE ATTAQUE DDOS HTTPS RECORD
Un rapport récent a révélé qu’un nouveau botnet appelé Mantis était responsable de l’attaque DDoS qui a visé les clients de Cloudflare le mois dernier. Bien que Cloudflare ait atténué l’attaque, celle-ci a été considérée comme la plus grande attaque DDoS HTTPS à ce jour.
Cette attaque DDoS constitue le précédent record du réseau de zombies Meris, avec un pic de 26 millions de requêtes par seconde provenant de 5 067 appareils. L’attaque du botnet Meris a quant à elle atteint un pic de 21,8 millions de requêtes par seconde.
Cloudflare a suivi les attaques du botnet Mantis contre des milliers de ses clients. La société d’atténuation des attaques DDoS a déclaré que ses systèmes ont automatiquement découvert et atténué l’attaque et l’ont empêchée de causer trop de dommages aux clients.
Cloudflare a assuré à ses clients que ses systèmes offrent une protection solide contre les attaques DDoS HTTP, y compris les attaques Mantis. La société a également fourni des conseils supplémentaires à ses clients pour les aider à rester en sécurité contre Mantis et d’autres attaques DDoS à l’avenir.
Le botnet Mantis a des caractéristiques uniques
Cloudflare explique que ses analystes ont baptisé le botnet Mantis en référence à la crevette-mante pour expliquer son modèle d’attaque. Selon l’entreprise de sécurité, la crevette, qui mesure environ 10 cm de long, peut porter des coups violents avec ses griffes. Dans le même ordre d’idées, le botnet est également puissant bien qu’il ne dépende que de très peu d’appareils.
En général, les réseaux de zombies fonctionnent en compromettant un grand nombre de dispositifs connectés afin d’obtenir une puissance de feu suffisante pour mener des attaques dommageables contre des cibles protégées.
Cependant, Mantis s’appuie sur des ordinateurs et des serveurs virtuels, qui offrent beaucoup plus de ressources. La génération de nombreuses requêtes HTTPS exige beaucoup de ressources. Par conséquent, plus les appareils qui composent l’essaim du botnet sont puissants, plus l’attaque DDoS peut être efficace.
Dans le cas de Meris, l’entreprise a pu réaliser de fortes attaques en recrutant des appareils MiktoTik, qui disposent d’un matériel puissant.
Mantis peut cibler plusieurs organisations
Mantis a un large éventail de cibles, ce qui le rend très dangereux. Il peut cibler les secteurs des jeux, de la finance, de l’information, des médias, des publications, et de l’informatique et des télécommunications. Cependant, le secteur IT et Télécoms est le principal domaine d’action du botnet, avec près de 40 % de ses victimes dans ce secteur. L’attaque DDoS a été lancée plus de 3 000 fois contre près d’un millier de clients de Cloudflare au cours des 30 derniers jours, selon l’entreprise.
Le rapport a également révélé que les organisations aux États-Unis sont les plus visées, avec 20 % des attaques dans le pays. L’attaque vise également les entreprises et les institutions de la Fédération de Russie, avec 15%.
Les autres pays ciblés sont le Royaume-Uni, l’Ukraine, l’Allemagne, le Canada, les Pays-Bas, la Pologne, la Turquie et la France.
Cloudflare a par ailleurs introduit un ensemble de meilleures mesures préventives pour permettre aux administrateurs d’assurer une meilleure protection de leurs systèmes et de se préparer aux attaques DDoS. En décrivant la capacité du logiciel malveillant Mantis, Cloudflare a déclaré qu’il était capable de générer une attaque de 26 millions de requêtes HTTPS par seconde en utilisant seulement 5 000 bots.
Il est déjà difficile de générer 26 millions de requêtes HTTP sans les frais supplémentaires liés à la mise en place d’une connexion sécurisée. Toutefois, cela a été plus facile pour Mantis car il a réussi à le faire par HTTPS, ce qui en fait l’un des réseaux de bots les plus sophistiqués qui aient jamais existé.
Une variante du botnet Meris, mais avec un impact dévastateur
Cloudflare a admis que les attaques DDOS HTTPS sont plus coûteuses lorsqu’il s’agit des ressources informatiques nécessaires pour réaliser l’attaque. Il est très coûteux d’établir une connexion sécurisée et cryptée TLS, et Mantis exécute l’attaque facilement avec les ressources dont il dispose. Cela met en évidence la force unique de ce botnet.
Contrairement aux botnets « traditionnels » qui sont créés à partir d’appareils de l’Internet des objets (IoT) comme les détecteurs de fumée, les caméras CC ou les enregistreurs numériques, Mantis utilise des machines virtuelles compromises pour mener à bien son attaque dévastatrice. Cela signifie que chaque bot est capable de beaucoup plus de ressources informatiques que le bot traditionnel. Le résultat est une force de frappe totale inégalée.
Cloudflare a révélé que Mantis représente la prochaine génération du botnet Meris, qui dépend des appareils TikTok. Toutefois, Mantis étend désormais sa capacité opérationnelle à plusieurs plateformes VM. Il est également compatible avec divers proxys HTTP pour lancer des attaques.
Le Mantis, malgré ses capacités plus importantes, fonctionne de manière similaire à « Meris » en ce qui concerne son origine. Ils sont de la même famille, mais le botnet Mantis est une révolution qui frappe fort et vite. L’équipe de Cloudflare a révélé que le botnet Mantis était très actif depuis quelques semaines. La société a conseillé à ses clients de suivre les méthodes de prévention et de remédiation qu’elle a fournies pour rester à l’abri de l’impact dévastateur des attaques DDoS du botnet.