Från busstreck till industri – så har ddos-attackerna förändrats

De flesta svenskar fick nog upp ögonen för överbelastningsattacker efter två stora incidenter. Hösten 2015 genomfördes en rad uppmärksammade attacker mot Swedbank, Nordea och andra storbanker. Några månader senare, en helg i mars, sänktes flera svenska nyhetssajter efter ett liknande angrepp.

En överbelastningsattack är kort sagt tänkt att göra det omöjligt för offret att leverera sin tjänst. I fallen ovan handlade det om att skicka så många förfrågningar till sajternas servrar att de kraschar och blir onåbara.

Ofta används det engelska begreppet ddos, distributed denial of service. Distribuerad innebär att attacken kommer från flera håll samtidigt. I regel används ett så kallat botnätverk som kan vara uppbyggt av hundratusentals datorer och andra uppkopplade prylar världen över som fjärrstyrs av en hackare.

Hur en attack slår kan variera totalt beroende på styrkan – och vilket skydd som offret har. I bästa fall handlar det om ett irritationsmoment, i värsta fall kan en attack slå ut hela sajter, applikationer eller nätverk.

Hur började det?

Överbelastningsattacker är i princip lika gamla som internet självt, men attacken som satte begreppet ddos på kartan inleddes den 7 februari år 2000.

En kanadensisk gymnasieelev som gick under pseudonymen MafiaBoy inledde sin kampanj med att slå undan benen för hela Yahoo!, på den tiden nätjätten verkligen var en jätte. Under veckan som följde fick bland andra Amazon, CNN och Ebay smaka på samma medicin.

Det var de här angreppen som på allvar transformerade överbelastningsattacker från busstreck till säkerhetshot. I dag måste alla större sajter ha något slags försvar för att inte gå samma öde till mötes när indignerade nätbusar vill straffas eller utpressare tjäna pengar.

Läs också: Nytt virus värvar Android-telefoner till jättelikt botnätverk

Samtidigt har, förstås, omfattningen på attackerna ökat många gånger om. Under 90-talet kunde en attack på 150 förfrågningar per sekund räcka för att sänka många system. I dag har vi sett exempel på attacker som gått förbi 1Tbps i styrka.

Det kanske värsta exemplet hittills var attacken mot det franska nätinfrastrukturföretaget Dyn förra hösten. Företaget fick ta emot förfrågningar från tiotals miljoner ip-adresser, och jättetjänster som Amazon, Netflix, Reddit, Spotify och Twitter gick på knäna till följd av angreppet.

Mirai satte en ny standard

Bakom attacken låg ett botnätverk som byggts med hjälp av viruset Mirai. Det används för att hitta och med hjälp av trojaner ta kontroll över dåligt skyddade uppkopplade enheter i sakernas internet. I angreppet mot Dyn ingick över 100 000 uppkopplade webbkameror, skrivare och andra iot-prylar. När Mirai var som störst beräknar man att 400 000 enheter världen över ingick i botnätverket.

Mirai har samtidigt ritat om spelplanen för ddos-attacker. Tidigare har hackare i regel använt sig av infekterade hemdatorer och servrar för att genomföra attackerna. Men Mirai drog nytta av den uppsjö av nya, dåligt skyddade uppkopplade prylar som finns runt omkring oss. Till skillnad från en dator kör de inga antivirusprogram, uppdateras sällan och många har pinsamt uppenbara säkerhetsproblem som hårdkodade lösenord.

Säkerhetsföretagen lyckade still slut sätta stopp för Mirai, men inte innan källkoden var läckt och en uppsjö av nya Mirai-versioner började sprida sig på nätet. Även om inget angrepp varit lika enormt som det första – ännu.

Samtidigt har hackarna börjat dra nytta av andra uppkopplade enheter. Nyligen upptäcktes ett nytt botnätverk som kallas Wirex och infekterar Android-enheter som kör äldre versioner av operativsystemet med kända säkerhetshål.

Hitåt går utvecklingen

1. Mer kommersiella

Samtidigt som ddos-attackerna blivit kraftigare och botnätverken större har överbelasningsattacker också blivit en lönsam affär.

Den som har byggt ett botnätverk kan använda hoten för att pressa någon på pengar – ge oss bitcoin annars sänker vi din tjänst. Men något som blir allt vanligare är att de istället hyr ut sitt botnäverk till timpris, vilket gör att även den med minimal teknisk kompetens kan genomföra ödesdigra attacker.

2. Fler attackvektorer

En annan trend är att attackerna blivit smartare, om man så vill. De försöker inte längre bara knäcka en sajt eller tjänst med råstyrka utan riktar in sig på flera attackvektorer. Det kan handla om att skicka förfrågningar både till applikationer, databaser och servrar – och vissa fall riktar de även in sig på offrets tjänsteleverantörer.

– Det här är breda, välkoordinerade attacker som ger stor effekt, säger Chuck Mackay på Binary Defense i en intervju med CSO.

Läs också: 8 coola kartor som visar it-attacker – så kan du använda dem

Den här typen av attacker kallar han för apdos, advanced persistant denial of service.

3. Fler leverantörer ger ökad sårbarhet

Något som hakar i apdos är faktumet att dagens företag använder sig av många leverantörer för olika it-tjänster, och därmed finns det fler ingångar för hackare som vill skada verksamheten.

– Företag är inte längre bara oroliga för att själva råka ut för ddos-attacker, utan också för attacker mot det stora antal affärspartners, återförsäljare och leverantörer de förlitar sig på, säger juristen Mike Overly som jobbar med säkerhetsfrågor på Foley & Lardner till CSO.

– Ett av de äldsta talesätten inom säkerhet är att man inte är säkrare än sin svagaste länk. I dag är – vilket vi sett i många attacker nyligen – den svagaste länken ofta en tredje part, säger han.

4. Intelligenta botnätverk

Precis som resten av it-branschen kommer även ddos-attacker att börja dra nytta av ny teknik som artificiell intelligens och neurala nätverk. Det är bara en tidsfråga, menar Rod Soto som ansvarar för säkerhetsforskning på AI-företaget JASK.

– Angripare kommer så småningom att integrera sådana tekniker i sina attacker, vilket gör det svårare för de som skyddar mot ddos-attacker att hinna med, säger han till CSO.

Lösningen är att även de som levererar ddos-skydd måste börja använda sig av AI-teknik, menar han.