Vào ngày 29 tháng 10 năm 2024, Cloudflare đã ghi nhận cuộc tấn công DDoS mạnh nhất từ trước đến nay. Xin nhắc lại, một cuộc tấn công từ chối dịch vụ phân tán bao gồm việc khiến một trang web hoặc dịch vụ trực tuyến không khả dụng bằng cách làm quá tải lưu lượng truy cập.
Cụ thể, tin tặc sẽ tấn công máy chủ bằng nhiều yêu cầu. Tình trạng quá tải này sẽ làm tê liệt trang web mục tiêu trong một thời gian. Tin tặc thường sử dụng các cuộc tấn công DDoS để tiến hành các chiến dịch truyền thông hoặc phản đối trên quy mô lớn. Đây cũng là một trong những vũ khí chính trong kho vũ khí của những hacker, những tin tặc bảo vệ một mục tiêu hoặc một hệ tư tưởng.
Cuộc tấn công mạng do Cloudflare phát hiện đã đạt ngưỡng 5,6 terabit mỗi giây. Đơn vị đo lường này chỉ khối lượng dữ liệu số. Trong trường hợp DDoS, nó đề cập đến lượng dữ liệu được gửi đến máy chủ của trang web. Chiến dịch này kéo dài không quá 80 giây và là một phần trong xu hướng tấn công ngày càng ngắn. Trên thực tế, phần lớn các cuộc tấn công được Cloudflare ghi nhận chỉ mất không quá mười phút.
Như Cloudflare giải thích, cuộc tấn công DDoS diễn ra sau sự tái diễn của các cuộc tấn công từ chối dịch vụ được ghi nhận trong những tháng trước. Trong khoảng thời gian từ tháng 9 đến cuối tháng 10 năm 2024, công ty Mỹ này nhận thấy một làn sóng DDoS quy mô lớn đang diễn ra trên khắp thế giới. Những đòn tấn công của loạt đạn này được coi là có sức mạnh áp đảo. Làn sóng mạnh nhất trước đó không vượt quá 3,8 terabit mỗi giây.
Trong quý cuối cùng của năm 2024, các cuộc tấn công DDoS đã vượt ngưỡng 1 Tbps, ghi nhận mức tăng trưởng ngoạn mục là 1885% so với quý trước. Các cuộc tấn công DDoS với khối lượng lớn chỉ chiếm 3% tổng số các cuộc tấn công, trong khi 63% là các cuộc tấn công nhỏ, với ít hơn 50.000 yêu cầu mỗi giây.
Cuộc tấn công được triển khai thông qua mạng botnet dựa trên Mirai, một phần mềm độc hại nổi tiếng xuất hiện gần một thập kỷ trước. Ban đầu, loại virus này được lập trình để tấn công các thiết bị Internet vạn vật (IoT), chẳng hạn như camera thông minh, bộ định tuyến và các thiết bị thông minh khác, bằng cách khai thác thông tin đăng nhập mặc định hoặc mật khẩu yếu.
Khi mã nguồn của phần mềm độc hại được cung cấp cho tất cả người dùng Internet, vô số biến thể đã xuất hiện trên web. Tất cả các phiên bản này đều có những khả năng rất cụ thể. Hiện tại, một núi botnet có nguồn gốc từ mã nguồn Mirai đã được các nhà nghiên cứu phát hiện. Ví dụ, một phiên bản Mirai có tên Gayfemboy gần đây đã chiếm quyền điều khiển hàng nghìn thiết bị, từ bộ định tuyến truyền thống đến các thiết bị được kết nối, bằng cách khai thác khoảng hai mươi lỗ hổng bảo mật.
Cloudflare phát hiện trong báo cáo rằng mạng lưới các thiết bị bị hack đằng sau cuộc tấn công mạng phá kỷ lục này bao gồm 13.000 thiết bị bị xâm phạm. Công ty giải thích rằng "mặc dù cuộc tấn công liên quan đến tổng cộng khoảng 13.000 địa chỉ IP duy nhất, nhưng trung bình mỗi giây có khoảng 5.500 địa chỉ IP đang hoạt động".
Hoạt động này nhằm mục đích đánh sập các dịch vụ trực tuyến của một ISP hoạt động tại Đông Á, danh tính của một ISP này không được tiết lộ. Nhờ các biện pháp giảm thiểu của Cloudflare, mục tiêu không gặp bất kỳ trục trặc nào. May mắn thay, toàn bộ cuộc phản công của Cloudflare đã được tự động hóa:
Nó được kích hoạt tự động khi các yêu cầu bắt đầu làm quá tải máy chủ. Hầu hết các mục tiêu đều nằm ở Trung Quốc, Philippines, Đài Loan, Hồng Kông và Đức. Trong hầu hết các trường hợp, đây là các công ty trong lĩnh vực viễn thông, internet, tiếp thị và quảng cáo.
Nguồn: Cloudflare
Cụ thể, tin tặc sẽ tấn công máy chủ bằng nhiều yêu cầu. Tình trạng quá tải này sẽ làm tê liệt trang web mục tiêu trong một thời gian. Tin tặc thường sử dụng các cuộc tấn công DDoS để tiến hành các chiến dịch truyền thông hoặc phản đối trên quy mô lớn. Đây cũng là một trong những vũ khí chính trong kho vũ khí của những hacker, những tin tặc bảo vệ một mục tiêu hoặc một hệ tư tưởng.
Cuộc tấn công mạng do Cloudflare phát hiện đã đạt ngưỡng 5,6 terabit mỗi giây. Đơn vị đo lường này chỉ khối lượng dữ liệu số. Trong trường hợp DDoS, nó đề cập đến lượng dữ liệu được gửi đến máy chủ của trang web. Chiến dịch này kéo dài không quá 80 giây và là một phần trong xu hướng tấn công ngày càng ngắn. Trên thực tế, phần lớn các cuộc tấn công được Cloudflare ghi nhận chỉ mất không quá mười phút.
Sự tái diễn của DDoS quy mô lớn
Như Cloudflare giải thích, cuộc tấn công DDoS diễn ra sau sự tái diễn của các cuộc tấn công từ chối dịch vụ được ghi nhận trong những tháng trước. Trong khoảng thời gian từ tháng 9 đến cuối tháng 10 năm 2024, công ty Mỹ này nhận thấy một làn sóng DDoS quy mô lớn đang diễn ra trên khắp thế giới. Những đòn tấn công của loạt đạn này được coi là có sức mạnh áp đảo. Làn sóng mạnh nhất trước đó không vượt quá 3,8 terabit mỗi giây.
Trong quý cuối cùng của năm 2024, các cuộc tấn công DDoS đã vượt ngưỡng 1 Tbps, ghi nhận mức tăng trưởng ngoạn mục là 1885% so với quý trước. Các cuộc tấn công DDoS với khối lượng lớn chỉ chiếm 3% tổng số các cuộc tấn công, trong khi 63% là các cuộc tấn công nhỏ, với ít hơn 50.000 yêu cầu mỗi giây.
Mạng botnet lấy cảm hứng từ Mirai
Cuộc tấn công được triển khai thông qua mạng botnet dựa trên Mirai, một phần mềm độc hại nổi tiếng xuất hiện gần một thập kỷ trước. Ban đầu, loại virus này được lập trình để tấn công các thiết bị Internet vạn vật (IoT), chẳng hạn như camera thông minh, bộ định tuyến và các thiết bị thông minh khác, bằng cách khai thác thông tin đăng nhập mặc định hoặc mật khẩu yếu.
Khi mã nguồn của phần mềm độc hại được cung cấp cho tất cả người dùng Internet, vô số biến thể đã xuất hiện trên web. Tất cả các phiên bản này đều có những khả năng rất cụ thể. Hiện tại, một núi botnet có nguồn gốc từ mã nguồn Mirai đã được các nhà nghiên cứu phát hiện. Ví dụ, một phiên bản Mirai có tên Gayfemboy gần đây đã chiếm quyền điều khiển hàng nghìn thiết bị, từ bộ định tuyến truyền thống đến các thiết bị được kết nối, bằng cách khai thác khoảng hai mươi lỗ hổng bảo mật.
13.000 thiết bị bị hack
Cloudflare phát hiện trong báo cáo rằng mạng lưới các thiết bị bị hack đằng sau cuộc tấn công mạng phá kỷ lục này bao gồm 13.000 thiết bị bị xâm phạm. Công ty giải thích rằng "mặc dù cuộc tấn công liên quan đến tổng cộng khoảng 13.000 địa chỉ IP duy nhất, nhưng trung bình mỗi giây có khoảng 5.500 địa chỉ IP đang hoạt động".
Hoạt động này nhằm mục đích đánh sập các dịch vụ trực tuyến của một ISP hoạt động tại Đông Á, danh tính của một ISP này không được tiết lộ. Nhờ các biện pháp giảm thiểu của Cloudflare, mục tiêu không gặp bất kỳ trục trặc nào. May mắn thay, toàn bộ cuộc phản công của Cloudflare đã được tự động hóa:
Nó được kích hoạt tự động khi các yêu cầu bắt đầu làm quá tải máy chủ. Hầu hết các mục tiêu đều nằm ở Trung Quốc, Philippines, Đài Loan, Hồng Kông và Đức. Trong hầu hết các trường hợp, đây là các công ty trong lĩnh vực viễn thông, internet, tiếp thị và quảng cáo.
Nguồn: Cloudflare
