Anatomia ataku - Anonymous vs Watykan?

Specjalizująca się w bezpieczeństwie informatycznym firma Imperva opublikowała szczegółową analizę ataku (nieudanego) Anonimowych na jednego z jej klientów. Sprawa jest o tyle ciekawa, że choć oficjalnie tego nie potwierdzono, to owym klientem najprawdopodobniej jest... Watykan.

W raporcie Imperva nazwy atakowanej organizacji nie podano, ale dziennikarze The New York Times twierdzą, że chodzi o Stolicę Apostolską, która faktycznie znalazła się niedawno na celowniku nieformalnej organizacji haktywistycznej The Anonymous (w ramach Operacji Faryzeusz).

Przedstawiciele Imperva twierdzą, że atak był nieudany - Anonimowi nie zdołali sforsować zabezpieczeń, zablokować dostępu do stron ani też przejąć żadnych danych użytkowników. Organizacja twierdzi co prawda, że zdołała znacząco spowolnić działanie serwisu internetowego Watykanu, ale nie przedstawiła żadnych danych potwierdzających tę tezę.

Zobacz również:

  • Hakerzy sięgają po nową broń: DDoS plus ransom
  • Rośnie liczba ataków DDoS

Z raportu Imperva dowiadujemy się, że atak był trójfazowy. Pierwszym etapem było rekrutowanie uczestników - Anonimowi poinformowali o swoich planach w mediach społecznościowych i prowadzili kampanię informacyjną, mającą zachęcić zwykłych internautów do przyłączenia się do akcji.

Kolejnym krokiem był rekonesans i ataki na aplikacje - na tym etapie serwery Watykanu zostały zaatakowane przez niewielką grupę (10-15 osób) doświadczonych hakerów, którzy wykorzystywali popularne narzędzia (m.in. as Havij, Acunetix czy Nikto) do wyszukiwania najbardziej oczywistych błędów w zabezpieczeniach. Przedstawiciele Imperva są przekonani, że to byli profesjonaliści - wskazuje na m.in. świetna znajomość narzędzi hakerskich oraz zręczne zacieranie śladów.

Efektywność tych działań była znikoma - dlatego w trzeciej fazie postawiono na zmasowany atak DDoS, przeprowadzany z tysięcy komputerów zwykłych internautów. W tym celu stworzono witrynę z osadzonym skryptem Javascript, który przez cały czas wyświetlania strony nawiązywał kolejne połączenia z serwerem-celem. Chodziło o to, by otwarcie setek tysięcy instancji strony doprowadziło do wysycenia zasobów celu i zawieszenie lub zablokowanie serwera.

Doprowadziło to do znacznego zwiększenia ruchu na serwerach klienta Impervy - ale firmie udało się skutecznie odfiltrować szkodliwy ruch. "Jeśli twoja firma czy organizacja jest potencjalnym celem Anonimowych, w pierwszej kolejności powinieneś pomyśleć o wdrożeniu skutecznych zabezpieczeń przeciwko atakom DDoS" - komentuje Amichai Shulman, współzałożyciel i szef działu technicznego Imperva. Shulman zaznaczył też, że z narzędzi podobnych do tych wykorzystywanych przez Anonimowych chętnie korzystają również "tradycyjni" cyberprzestępcy (którzy za pomocą ataków DDoS próbują np. wymuszać od firm haracze).

Raport zatytułowany “Anatomy of an Anonymous Attack" stworzono na podstawie danych z systemu Imperva ADC (Application Defense Center). Dokument można znaleźć na stronie firmy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200