《DDoS: 持续存在》

三月 2024年 目录 执行摘要 我：I2023年，分布式拒绝服务（DDoS）攻击在规模和复杂性方面达到了新的高度。全球范围内，金融行业是最主要的攻击目标。 继续使用那个工具直到它证明有效。实际上，2023年随着以色列-哈马斯战争的爆发以及如COP 28等政治高峰会议的举行，分布式拒绝服务（DDoS）攻击有所增加。在这些情况下，针对环保网站的网络攻击明显上升。 尽管DDoS攻击不常中断成熟金融服务业组织的内部运营或提取数据，但它们可能对客户信心产生不成比例的影响。当网站无法访问——即使只是几秒钟——客户可能会推断整个组织受到损害，这损害了公司的声誉。 与黑客活动分子、国家行为体、勒索软件攻击者和犯罪集团一样，所有这些实体都将DDoS攻击作为分层攻击模式的一部分，包括作为一种迷惑手段，以转移组织资源，同时威胁行为者执行另一种类型的攻击。大规模DDoS攻击在部署和发起方面成本较低，可以通过现成的DDoS外包服务和地下市场轻松实施。建议金融服务组织优化其网络安全防御，以保护其运营和声誉，并确保在法规演变过程中保持合规。 大部分自2022年开始的DDoS攻击的上升可以归因于有动机的黑客活动家，他们旨在造成尽可能多的干扰。黑客活动家利用DDoS作为地缘政治冲突和政治不稳定的一种工具，并且可能会继续这样做。 历史上，Akamai观察到的DDoS攻击中，大约有10%–15%是针对金融服务行业的组织。然而，自2021年以来，针对金融服务公司的DDoS攻击数量出现了明显且显著的激增。 根据Akamai的数据，自2022年以来，针对金融服务行业的第3层和第4层DDoS攻击数量有所增加，而在2023年，金融服务行业成为了DDoS攻击（第3层和第4层）的主要目标。2023年，所有行业遭受的所有攻击中，有超过三分之一，即35%，是针对金融服务机构的，这使得该行业比游戏行业更具吸引力。 Akamai的分析显示，在全球范围内，63%的DDoS攻击针对的是银行业。在EMEA地区，约有四分之三（72%）的攻击集中在银行业，而在亚太地区（APAC），这一比例高达91%。然而，在美洲（AMER）地区，DDoS攻击在银行、保险和其他金融机构之间分布得更为均匀。 FS-ISAC在2023年和2022年之间观察到相应的增长；具体而言，成员报告的DDoS增长了154%。报告事件的增长部分与2023年夏季俄罗斯黑客活动分子团体发布的关于他们意图发起大规模、协调一致的DDoS攻击的公告后的高度警惕有关。 欧洲和美国金融机构。FS-ISAC评估指出，此类公告导致报告量增加，因为该行业在此期间更加警惕。然而，尽管2023年攻击量显著增加，但缓解措施成功实施，未报告任何重大影响。 Akamai的分析发现，在2023年，51%的第三层和第四层DDoS攻击事件针对的是欧洲、中东和非洲地区的金融服务机构。这表明了一种持续的“区域转移”趋势，该趋势首次在2022年被观察到，当时EMEA地区的DDoS事件增加了五分之一，对金融服务领域的攻击自2021年以来增加了73%。 金融服务行业是AMER和EMEA地区最被针对的行业，尽管EMEA机构远远超过其他地区成为威胁行为者的首选目标：在EMEA地区，金融服务行业占所有DDoS攻击的66%，相比之下，AMER地区占28%。在APAC地区，金融服务是第三大攻击目标，排在商业和游戏之后，占DDoS攻击的11%。 DDoS攻击在EMEA地区的集中表明，DDoS作为一种政治、黑客活动和网络战工具的使用，尤其是在俄罗斯-乌克兰冲突的背景下。 美洲：金融服务业占DDoS攻击的28% 亚太地区：金融服务占DDoS攻击的11% 欧洲、中东和非洲地区：金融服务代表66%的DDoS攻击 2023年6月 - 2023年12月 图3：按行业划分的区域概览。（来源：Akamai） 基础设施组织，包括大型商业银行、国家银行、交通运输、军事设施以及政府部门。该团体的宣言表明，倾向于针对那些表达对乌克兰支持或持有“反俄罗斯”立场的公司和组织。因此，位于北约成员国或支持乌克兰的公司和组织应采取主动措施，通过购买DDoS保护服务作为预防可能来自NoName攻击的措施。 地缘政治影响力 金融机构必须确保其威胁情报计划包括地缘政治因素和分析，因为金融部门很可能在未来全球的地缘政治冲突中继续成为黑客活动分子的目标。 黑客活动分子受意识形态驱使，常攻击强大的组织，如大型商业银行、公共机构、军事设施和政府部门。尽管他们可能缺乏高级技术技能，黑客活动分子的分布式拒绝服务（DDoS）攻击仍然对服务可用性构成威胁，尽管这种威胁通常持续相对较短的时间。 黑客活动者档案：匿名苏丹 匿名苏丹集团于2023年1月在Telegram上出现，并很快宣誓对亲俄罗斯黑客行动集体KillNet的忠诚。除了该集团向KillNet公开宣誓外，该集团的确切来源尚未得到确认，但安全研究人员并未发现与苏丹的实际联系。 以色列-哈马斯战争爆发增加了黑客活动分子DDoS攻击的数量，但俄罗斯于2022年2月入侵乌克兰是关键时刻，催生了大量新的威胁行为体，并加剧了双方网络军队的活动。这对网络威胁格局产生了显著影响。例如，亲俄黑客活动分子在2023年积极针对金融行业。2023年6月，KillNet宣布将对西方金融系统进行“大规模”的网络攻击。显然，该活动并未取得显著成效。然而，黑客活动分子通常会使用煽动性言论，在信息战中夸大无实质影响的DDoS攻击，使其显得更为强大。 尽管演员们表示他们与俄罗斯共享共同利益——而不是与俄罗斯有联系——该群体的行为显示出亲克里姆林宫的倾向。例如，匿名苏丹是亲俄黑客活动分子群体中最活跃的，其攻击影响最大，据研究人员称，其技术基础设施对黑客集体来说成本过高，这表明有一个主要出资者，可能为俄罗斯国家。 该组织声称对包括针对瑞典关键基础设施、以色列总理网站和Facebook账号、以色列国家情报机构摩萨德、数家阿联酋银行、瑞典航空公司以及多家美国医院的多次高调DDoS攻击负责。自以色列和哈马斯冲突爆发以来，该组织开始针对支持以色列的网站和组织，这些网站和组织与红海地区冲突升级有关。该组织还声称对进行多次网站篡改和数据泄露负有责任。该组织声称的其他重大攻击包括以色列铁穹导弹防御系统的妥协和临时解除武装，以及2023年6月对微软的攻击，该攻击影响了Outlook和Azure。 黑客活动者档案：NoName057(16) NoName057(16) 首次出现在黑客活动主义者的舞台上，时间上紧随俄罗斯对乌克兰的入侵之后。 在2023年8月，NoName通过名为“DDoSia”的活动招募黑客，提供高达80000卢布的奖金，并通过加密货币支付。标准的黑客活动组织没有资金支付DDoS攻击，这使俄罗斯政府的金融联系成为可能。然而，NoName发起的大部分DDoS攻击基本上都未能成功，并已成功得到缓解。 金融行业是NoName的常规目标。在2023年，他们对关键基础设施进行了日常攻击。 近期，DDoS研究人员观察到的一个趋势是威胁行为者的侦察活动增加。这恰好与随机化和复杂的DDoS攻击的急剧上升相吻合。这些攻击似乎是有意为之，试图通过模仿浏览器行为来克服缓解系统。在这些案例中，威胁行为者试图将每秒攻击次数保持在较低水平，以避免被检测并隐藏在合法流量中。 黑客活动者档案：KillNet 自2022年1月开始活动，并且无疑是2022年中最有成效的黑客活动分子群体之一，KillNet是一个以对美国和西方的金融、运输和政府系统进行频繁、不规律且具有公开性质的DDoS攻击而闻名的俄罗斯黑客活动组织。2023年6月5日，KillNet宣布解散了该组织现有的结构，并在2024年1月宣布将其重组为三个不同的团体。尽管普遍认为其声势大于实际效果，KillNet的成员中包括了有能力的活动分子，并且具有从志同道合者那里赢得支持的倾向。KillNet与匿名苏丹之间的联系频繁发生。 观察者还注意到黑客组织将DDoS攻击作为一种DDoS技术训练方法。黑客组织和其他攻击者被观察到针对较小的目标发起攻击，作为一种教育经验，教他们的团队如何对更大、更重要的目标发起攻击。事实上，KillNet黑客组织承认他们攻击意大利公共部门是为了训练和技能提升。 不仅仅是麻烦：DDoS攻击者的应用案例 尽管成熟的金融服务组织的防御通常很强大，但DDoS攻击远不止是麻烦——如果攻击成功中断了任何程度全球商业都依赖的软件服务，它们可能会影响数百万人的利益。此外，DDoS攻击还可以用作其他类型网络攻击的掩护，例如作为勒索计划的一部分。 实际上，勒索软件团伙已经将DDoS事件 incorporated 作为其策略、技术和程序（TTPs）的一部分。被称为勒索DDoS（RDDoS）的三重勒索软件，涉及到通过勒索软件渗透企业，威胁说如果没有支付赎金就会泄露窃取的客户信息，并通过DDoS攻击来扰乱业务运营，以此作为额外的压力迫使受害者支付赎金。RDDoS正在成为一种越来越破坏性的网络勒索形式，并且随着网络犯罪分子发现其有利可图而日益流行。例如BlackCat、AvosLocker、DarkSide和Lazarus等勒索软件团伙已经在他们的勒索计划中利用DDoS攻击。然而，FS-ISAC的分析发现，2023年成员报告了从以经济动机为主的DDoS勒索活动向由国家支持的黑客活动小组的转变。 2023年演变中的DDoS攻击类型 尽管显示的威胁形势表明DDoS攻击更加频繁地发生，但也表明了攻击者正在改变他们的DDoS攻击类型。趋势是攻击持续时间缩短，但每秒数据包量增加，以及针对应用程序/网页的攻击更多。具体来说，针对网络基础设施的恶意活动增加（攻击者在2023年每秒发送的请求数量比2022年多），旨在“堵塞网络管道”的带宽攻击（每秒发送的比特数更多），针对硬件/处理器的攻击（每秒发送的数据包更多），以及对DNS基础设施的攻击（每秒发送的查询更多）。 根据Akamai的洞察，2023年最频繁的DDoS攻击向量是DNS洪水攻击（55%），其次是SYN洪水攻击、DNS反射攻击和NTP反射攻击。FS-ISAC观察到多种技术，包括使用DNS反射、GET洪水、SYN洪水、第三层、第四层和应用程序层7攻击。 此外，观察者指出2023年出现了更多的横向攻击。横向攻击是对多个、无关的目标同时发起DDoS攻击，而不是针对单个高价值受害者。例如，攻击者可能会攻击与特定组织有关的所有IP地址，或者在一次深入的侦查后同时攻击大量活跃的服务或系统。这种设计为了分散攻击，这种DDoS方法最大化了广泛干扰的可能性，使得缓解变得更加困难。 僵尸网络也正变得越来越强大。自2023年初以来，超大规模的DDoS攻击更多地与被入侵的虚拟专用服务器（VPS）相关联，而不是与物联网（IoT）设备相关。新的僵尸网络使用的设备更少，但每个设备都显著更强。例如，云计算公司客户用于创建性能应用的VPS比基于物联网的僵尸网络强5000倍。 2023年显著的DDoS攻击 2023年，几起DDoS攻击值得关注，无论是攻击目标还是攻击规模。 2023年2月 Akamai缓解了针对其位于亚太地区客户的史上最大DDoS攻击。攻击流量峰值达到900.1 Gbps和158.2 Mpps。攻击强度大且持续时间短，大部分攻击流量在攻击高峰分钟内爆发。 2023年6月 微软的旗舰办公套件——包括Outlook电子邮件和OneDrive文件共享应用——以及云计算平台Azure遭受了间歇性但严重的服务中断。黑客组织匿名苏丹声称对此负责，称其通过DDoS攻击向网站发送垃圾流量。据微软称，此次DDoS活动针对的是第7层而非第3层或第4层。 2023年7月 Akamai检测并减轻了针对欧洲客户的迄今为止最大的DDoS攻击，全球分布式的攻击流量峰值达到853.7 Gbps和659.6 Mpps，持续14小时。此次攻击针对一系列客户IP地址，成为了Akamai至今所减轻的最