OVHcloud ผู้ให้บริการคลาวด์ระดับโลก และหนึ่งในผู้ให้บริการรายใหญ่ที่สุดในยุโรป เผยแพร่รายงานการป้องกันเหตุการณ์การโจมตีในลักษณะ Distributed Denial of Service (DDoS) attack ที่ทำลายสถิติล่าสุด โดยมี packet rate ที่สูงถึง 840 ล้าน packets per second (Mpps)
OVHcloud รายงานว่า พบเห็นแนวโน้มการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ปี 2023 โดยเริ่มจากการโจมตีขนาดเกิน 1 Tbps ซึ่งเกิดขึ้นบ่อยครั้ง และเพิ่มขึ้นจนเกิดขึ้นทุกสัปดาห์ และแทบทุกวันในปี 2024
จากการโจมตีอย่างต่อเนื่องส่งผลให้มี bit rates และ packet rates สูงอย่างต่อเนื่องเป็นระยะเวลานานในช่วง 18 เดือนที่ผ่านมา โดย bit rates ที่สูงสุดซึ่ง OVHcloud ได้บันทึกไว้คือ 2.5 Tbps เมื่อวันที่ 25 พฤษภาคม 2024
การวิเคราะห์การโจมตีบางประเภท เผยให้เห็นถึงการใช้งานอุปกรณ์ที่ใช้โจมตีอย่างแพร่หลาย โดยเฉพาะอุปกรณ์ Mikrotik ที่ทำให้การโจมตีส่งผลกระทบมากขึ้น รวมถึงความยากในการตรวจจับ การยับยั้งเหตุการณ์
การโจมตี DDoS ที่ทำลายสถิติ
เมื่อต้นปี 2024 ทาง OVHcloud ได้ป้องกันการโจมตีที่มี packet rates จำนวนมหาศาลที่สูงถึง 840 Mpps ซึ่งแซงหน้าสถิติเดิมที่พบการโจมตี DDoS ที่ 809 Mpps โดยมีเป้าหมายเป็นธนาคารในยุโรป ซึ่งทาง Akamai ได้ป้องกันเหตุการณ์ดังกล่าวไว้ได้
OVHcloud ได้สังเกตเห็นการโจมตี TCP ACK ซึ่งมีต้นทางมาจาก Source IPs จำนวน 5,000 รายการ โดย 2 ใน 3 ของ packets ถูกส่งผ่าน Points of Presence (PoPs) เพียงสี่จุด ซึ่งทั้งหมดอยู่ในสหรัฐอเมริกา และสามจุดอยู่ที่ชายฝั่งตะวันตก ซึ่ง Hacker ได้ทำการรวมปริมาณข้อมูล traffic จำนวนมหาศาลนี้ผ่าน internet infrastructure ที่มีขอบเขตเฉพาะ ทำให้การโจมตี DDoS มีประสิทธิภาพมากขึ้น
ประสิทธิภาพของ Mikrotiks กลายเป็นปัญหา
OVHcloud ระบุว่าการโจมตีด้วย packet rates สูงหลายครั้งที่บันทึกไว้ รวมถึงการโจมตีที่ทำลายสถิติเมื่อเดือนเมษายน 2024 มีที่มาจาก อุปกรณ์ MirkoTik Cloud Core Router (CCR) ที่ถูกโจมตี ซึ่งออกแบบมาสำหรับ high-performance networking ได้แก่โมเดล CCR1036-8G-2S+ และ CCR1072-1G-8S+ ที่ตกเป็นเป้าหมายในการโจมตีโดยเฉพาะ ซึ่งถูกใช้เป็น network cores ขนาดเล็กถึงกลาง โดยถูกโจมตีผ่าน firmware ของอุปกรณ์ที่มีช่องโหว่
ทั้งนี้ OVHcloud ตั้งสมุติฐานว่า Hacker อาจใช้ฟีเจอร์ "Bandwidth Test" บน RouterOS ของ MikroTik ซึ่งได้รับการออกแบบมาสำหรับการ stress testing ของ network throughput จากการสร้าง high packet rates
OVHcloud พบอุปกรณ์ Mikrotik กว่า 100,000 รายการที่มีช่องโหว่ ซึ่งสามารถเข้าถึงได้ผ่านอินเทอร์เน็ต ทำให้กลายเป็นเป้าหมายการโจมตีของแคมเปญ DDoS หลายราย
รวมถึงอุปกรณ์ MikroTik มีพลังการประมวลผล CPU สูงถึง 36 core แม้ว่าจะมีอุปกรณ์เพียง 100,000 เครื่อง ก็อาจส่งผลให้เกิด botnet ที่สามารถสร้าง packet ได้หลายพันล้าน packets per second
โดย OVHcloud ได้คำนวณว่าหากนำ 1% ของ 100,000 รายการ มาทำการโจมตี DDoS ก็สามารถสร้างการโจมตีได้มากถึง 2.28 พันล้าน packets per second (Gpps)
ในอดีตอุปกรณ์ Mikrotik เคยตกเป็นเป้าหมายการโจมตี DDoS ในชื่อ Mēris botnet มาก่อน แม้ว่าทาง MikroTik ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่แล้ว แต่ก็พบว่ามีองค์กรที่ไม่ได้ทำการอัปเดตเพื่อแก้ไขช่องโหว่ ทำให้ยังมีความเสี่ยงในการตกเป็นเป้าหมายการโจมตีอยู่
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.