Posté le mai 4, 2022 à 17:58
UNE PLATEFORME DE CRYPTO-MONNAIES VISÉE PAR L’UNE DES PLUS IMPORTANTES ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS)
Une attaque par déni de service distribué (DDoS) a récemment été utilisée pour cibler une plateforme de crypto-monnaies. L’attaque a été classée comme l’une des plus grandes attaques DDoS de l’histoire. Selon un rapport de Cloudflare, les acteurs malveillants à l’origine de celle-ci ont bombardé le réseau de 15,3 millions de requêtes.
Attaque DDoS contre une plateforme de crypto-monnaie
Les attaques DDoS sont en augmentation ces derniers temps. Ces attaques peuvent servir de prétexte pour lancer d’autres campagnes malveillantes au sein du serveur d’une entreprise, tandis que certains hackers lancent ces attaques pour demander une rançon.
Les attaques DDoS peuvent être mesurées de plusieurs façons. La première est le volume de données transférées au sein du serveur de l’entreprise. Les attaques peuvent également être déterminées par le nombre de paquets ou de requêtes envoyés chaque seconde.
Le record actuel des plus grandes attaques DDoS est de 3,4 térabits par seconde pour les gros volumes de données qui occupent toute la bande passante de la cible. Les records sont également de 809 millions de paquets par seconde et de 17,2 millions de requêtes par seconde. Le récent incident DDoS signalé par Cloudflare a atteint 15,3 millions de requêtes par seconde, ce qui en fait l’une des plus grandes attaques DDoS de l’histoire.
L’attaque est également considérée comme plus puissante car elle a été lancée en utilisant des requêtes HTTPs au lieu des requêtes HTTP utilisées dans le rapport. Les requêtes HTTP exigent une puissance de calcul plus élevée, ce qui signifie que cette attaque récente aurait pu être trop importante pour la plateforme visée.
L’attaque a également été considérée comme puissante en raison des ressources utilisées pour déployer le flood de requêtes HTTPs. Cette attaque a prouvé que les attaquants DDoS devenaient plus puissants et changeaient de tactique, ce qui pourrait constituer une menace majeure pour les cibles à l’avenir.
Le rapport de Cloudflare ajoute que le botnet responsable de cette récente attaque comprenait environ 6 000 bots. Le botnet a déployé des charges utiles allant jusqu’à 10 millions de requêtes par seconde. Les origines de ces attaques ont été retracées dans 112 pays. Toutefois, 15 % de la puissance était liée à l’Indonésie, la Russie, le Brésil, l’Inde, la Colombie et les États-Unis.
Les chercheurs de Cloudflare, Omer Yoachimik et Julien Desgats, ont ajouté que dans les pays où l’attaque a eu lieu, plus de 1300 réseaux ont été utilisés. Ils ont ajouté que le flux élevé de trafic était dû aux centres de données, les acteurs de la menace ayant délaissé les FAI des réseaux résidentiels au profit des FAI du cloud computing.
« Les principaux réseaux comprenaient le fournisseur Allemand Hetzner Online GmbH (numéro de système autonome 24940), Azteca Comunicaciones Colombia (ASN 262186), OVH en France (ASN 16276), ainsi que d’autres fournisseurs de cloud computing », ajoute le rapport.
Les attaquants ont exploité des serveurs vulnérables pour mener ces attaques. L’analyse indique en outre que certains des serveurs compromis pour lancer le DDoS fonctionnaient avec des applications Java.
Patrick Donahue, le vice-président des produits chez Cloudflare, a publié un courriel disant : « Dans ce cas, l’attaquant utilisait des serveurs compromis chez des fournisseurs d’hébergement en nuage, dont certains semblent exécuter des applications Java. Ceci est notable en raison de la découverte récente d’une vulnérabilité (CVE-2022-21449) qui peut être utilisée pour le contournement de l’authentification dans un large éventail d’applications basées sur Java. »
M. Donahue ajoute que les chercheurs ont détecté de nombreux routeurs MikroTik utilisés dans l’attaque. Il a noté que les données signifiaient que les attaquants pouvaient exploiter la même vulnérabilité que celle exploitée par le botnet Meris.
L’attaque DDoS contre la plateforme de crypto-monnaie a duré environ 15 secondes. Cloudflare a réussi à combattre l’attaque en utilisant les systèmes de son réseau de centres de données. Ces systèmes détectent toute hausse significative du trafic et interviennent pour identifier l’origine des attaques.
Attaque contre une rampe de lancement cryptographique
Le rapport de Cloudflare n’a pas mentionné la cible de cette attaque DDoS. Le rapport indiquait seulement que les attaquants avaient ciblé un launchpad de crypto-monnaies. Un launchpad est une plateforme utilisée par les projets de finance décentralisée (DeFi) pour obtenir des financements.
« L’attaque, qui a duré moins de 15 secondes, a visé un client de Cloudflare sur le plan professionnel (Pro) exploitant un launchpad de crypto-monnaies. Les rampes de lancement de crypto-monnaies sont utilisées pour présenter des projets de finance décentralisée à des investisseurs potentiels. L’attaque a été lancée par un botnet que nous avons observé – nous avons déjà vu des attaques de grande envergure, jusqu’à 10 millions de rps, correspondant à la même empreinte d’attaque », ajoute le rapport.
L’ampleur de cette récente attaque DDoS met en lumière l’évolution des attaquants et la course des cibles pour renforcer leurs mesures de sécurité. Toutefois, un nouveau record pourrait être établi prochainement, les attaquants évoluant plus rapidement.
