Hacktivisten hebben de afgelopen weken een grootschalige DDoS-campagne gevoerd tegen Amerikaanse banken. Hackers konden zich bij de aanval voegen om zoveel mogelijk systemen down te brengen. Onder meer J.P. Morgan Chase ging hard onderuit tijdens de operatie. De groep protesteert daarmee tegen de controversiële film 'Innocence of Muslims'.

Grootschalige oefening

Vorige week voerde de Europese informatiebeveiligingsdienst ENISA in het kader van Cyber Europe 2012 een oefening uit om te zien of publieke en private organisaties bestand zijn tegen cyberdreigingen. Hoog op de agenda stond de Distributed Denial of Service (DDoS), het platleggen van servers door ze te overspoelen met aanvragen. Uit de eerste bevindingen van de cyberoefening blijkt al dat sommige landen hun crisisplannen moeten bijwerken.

DDoS is een groeiend probleem, vooral nu toolkits het makkelijk maken voor aanvallers om zich aan te sluiten bij een DDoS-operatie. Speciale botnets die zombies inlijven om servers te overstelpen met aanvragen zijn in opkomst. Ook de ‘terroristische aanval’ op Amerikaanse banken gebruikte een slimme methode om nietsvermoedende servers te misbruiken om een DDoS uit te voeren.

Grootschalige DDoS op banken

Een betrekkelijk nieuwe aanvalsvector is het opt-in botnet. Het opt-in botnet wordt specifiek opgezet om iedereen mee te laten doen aan een grootschalige cyberaanval. De C&C stuurt zombies aan met aanvragen naar specifieke servers om een DDoS te veroorzaken. Volgens analisten is het gebruik van deze botnets de sleutel voor succes voor betrekkelijk kleine hacktivistengroeperingen.

Beveiligers vermoeden dat het volume van de DDoS-aanval op Amerikaanse banken nog is toegenomen door het inzetten van DDoS-kits die Content Management Systemen misbruiken. Hackers gebruiken ongepatchte gaten in onder meer Joomla om zo servers het werk op te laten knappen.

Servers kregen op het hoogtepunt van de aanval 30 miljoen packets per seconde te verwerken, zo beschrijft een beveiligingsfirma die het DDoS'en probeerde te stoppen aan Dark Reading. Volgens één bron zou de grootschalige aanval een bandbreedte van 100 Gbps hebben gebruikt.

Afschermen tegen DDoS

De bescherming tegen DDoS ligt volgens sommige deskundigen in het voorkomen van de aanval door de botnets die erachter zitten neer te halen. Maar het praktische probleem daarvan is dat ze wijdverspreid zijn en in een mum van tijd opnieuw zijn in te zetten voor andere doeleinden, van klikfraude, naar het verspreiden van bankingtrojans, naar het meewerken aan DDoS.

Daarom proberen bedrijven en overheden serververkeer zoveel mogelijk af te schermen voor DDoS’ers. Door serverrecources te configureren kan een deel worden afgevangen, firewalls moeten ongewenste pakketjes uitfilteren, via IDS wordt het netwerk gemonitord op verdachte activiteiten en bepaalde appliances helpen met het filteren van webverkeer. Andere methodes zijn geo-blocking als de aanval uit een specifiek gebied komt en het inzetten van reverse proxy’s.

Grote bedrijven wijken daarnaast uit naar het inkopen van meer bandbreedte en het gebruik van nog meer redundancy. Zo moet een DDoS-aanval langer duren en een grote golf serveraanvragen versturen om succesvol te zijn. Zo wordt in ieder geval de middelgrote of kortstondige aanval afgeslagen.

Het probleem van een te fanatieke DDoS-bescherming is echter dat het écht webverkeer ook afwijst, zoals bij de tarpit nogal eens voorkomt. Een netwerkbeheerder zoekt de balans tussen het daadwerkelijke risico op een DDoS en de performance-issues die mogelijk optreden met beveiliging.

Europa zet cyberaanval in scène

De aanvallen van de afgelopen weken demonstreren dat hacktivisten sneller en beter in staat zijn dan ooit om effectieve DDoS'en op grote instituten uit te voeren. In het recente verleden was vooral Anonymous succesvol met dit soort aanvallen vanwege een verspreide toolkit die door allerlei aangesloten hackers werd misbruikt.

Het toevoegen van DDoS aan de serie oefeningen van CyberEurope was een logische stap, stelt ENISA-baas Evangelos Ouzounis tegen TechWeek Europe. De impact van DDoS verschilt per organisatie maar met de trend naar toolkits die breed worden ingezet om servers neer te halen, is DDoS een dreiging waar Europa niet omheen kan, aldus Ouzounis.

De oefening van vrijdag leverde in ieder geval al direct de conclusie op dat de cyberrampenplannen van een aantal landen niet toereikend zijn. De ENISA noemt de oefening in een persbericht een succes. Tijdens de gesimuleerde aanvallen voegden ook onbekende hackers zich bij de oefening en kregen landen te maken met daadwerkelijke problemen. Wat precies heeft plaatsgevonden en welke lessen Europa heeft geleerd, maakt ENISA bekend in een rapportage die voor het einde van het jaar moet verschijnen.