Chodzi o firmę, która korzysta z zaprojektowanej przez Google usługi bezpieczeństwa Cloud Armor DDoS. Haker bombardował przez ponad godzinę serwery należące do tej firmy żądaniami HTTPS, których z upływem czasu ciągle przybywało. Ataki takie są dla hakerów trudne do przeprowadzenia, gdyż cała komunikacja jest szyfrowana. Najpierw było to zaledwie 10 tys. żądań na sekundę, aby po pewnym czasie osiągnąć wielkość 100 tys. żądań na sekundę, w końcowej fazie sięgając prawie 46 mln żądań na sekundę.

Google twierdzi, że był to największy w historii atak przeprowadzony w warstwie 7 modelu OSI, znanej jako warstwa aplikacji. Jego siła była dwa razy większa od podobnego ataku odnotowanego nieco później przez firmę Cloudflare, którego siła osiągnęła w pewnym momencie wielkość 26 mln żądań na sekundę.

Zobacz również:

• Cyberobrona? Mamy w planach
• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS

Badanie wykazało, że atak był przeprowadzony przez ponad 5 tys. urządzeń komputerowych zlokalizowanych w ponad 130 krajach. Google twierdzi, że rozkład geograficzny oraz rodzaje usług użytych do wygenerowania ataku wskazują na to, że za atak odpowiada botnet należący do rodziny Meris, który wykorzystuje do tego celu urządzenia IoT. Botnet ten stosuje prostą, aczkolwiek skuteczną technikę polegającą na zasypywaniu swej ofiary (czyli webowego serwera) prostymi żądaniami HTTTP, których jest tak wiele, żę serwer zawiesza się i odmawia w pewnym momencie świadczenia usług.

Firma Cloudflare przypisała przeprowadzony na nią atak o wielkości 26 mln żądań na sekundę botnetowi Mantis, który należy do tej samej grupy zagrożeń co Meris. Według Cloudflare, botnet Mantis zagnieździł się w maszynach wirtualnych i serwerach hostowanych przez firmy w chmurze, a nie w urządzeniach IoT o niskiej przepustowości, jak ma to miejsce w przypadku botnetu Meris.

Google zwrócił przy tym uwagę na fakt, że botnet Meris wykorzystywał niezabezpieczone serwery proxy, po to aby utrudnić badanie mające wykryć prawdziwe pochodzenie ataków.

Ciekawe jest przy tym to, że 22% adresów IP atakujących system IT pochodziło z sieci Tor, ale odsetek żądań pochodzących z tych węzłów stanowił zaledwie 3% całego ruchu generowane go przez atak.