BLOG

Les services de cloud distribués F5 résistent aux attaques DDoS L7 émergentes

Vignette de Sudhir Patamsetti
Sudhir Patamsetti
Publié le 10 février 2023

F5 a lancé Distributed Cloud Services en 2022, offrant une protection des applications Web et des API aux entreprises qui ont besoin d'une sécurité basée sur la périphérie pouvant être consommée en tant que service. Dans le monde interconnecté d’aujourd’hui, les cybermenaces sont en augmentation et les organisations doivent être prêtes à protéger leur infrastructure critique contre les nouveaux types d’attaques en constante évolution. L’un des types de cyberattaques les plus courants est l’attaque par déni de service distribué (DDoS), qui peut faire tomber même les plus grands sites Web et services en ligne.

Récemment, un important groupe de hackers pro-russes connu sous le nom de Killnet a lancé une attaque DDoS L7 sophistiquée contre une grande organisation européenne. L'attaque visait à submerger les serveurs de l'entreprise avec des quantités massives de trafic, rendant difficile l'accès des utilisateurs au site Web avec un trafic d'attaque culminant à 120 000 RPS. Cependant, grâce aux efforts du Centre d'opérations de sécurité (SOC) de F5 et aux capacités avancées d'atténuation des attaques DDoS de F5 Distributed Cloud Services, l'attaque est atténuée avec succès et le site Web est resté opérationnel tout au long de l'attaque. Cette attaque fait partie de plusieurs campagnes DDoS qui ont eu lieu au cours des dernières semaines et qui proviennent de ce groupe.

Note: Il s’agit d’une campagne d’attaque active qui dure depuis plus d’une semaine et nous parvenons à atténuer ces attaques au moment où cet article de blog est rédigé.

Cette attaque DDoS spécifique provient de plusieurs endroits à travers le monde. Les points gris sur la carte ci-dessus représentent les origines des attaques et les cases rouges représentent les points de présence du réseau mondial F5 où le trafic d'attaque de l'application est filtré et le trafic légitime est autorisé.

L’une des principales caractéristiques des attaques de Killnet est leur concentration sur la couche applicative (L7). Ces attaques sont particulièrement difficiles à détecter et à atténuer, car elles impliquent souvent l’imitation du comportement normal des utilisateurs (ce qui les rend difficiles à distinguer du trafic légitime), de multiples vecteurs d’attaque d’application et la possibilité de se réorganiser, notamment en parcourant différents emplacements sources, adresses IP et autres composants d’attaque.

Principales adresses IP sources d'où provient l'attaque. Le trafic d'attaque est observé sur plusieurs adresses IP distribuées dans le monde entier.
L'empreinte TLS responsable de la majorité du trafic d'attaque dans ce scénario d'attaque.

Le trafic d’attaque provient uniquement de 3 empreintes TLS différentes, même si la source du trafic est répartie sur 35 adresses IP différentes et 19 pays. Nous constatons que 72 % du trafic d’attaque provient d’une empreinte digitale TLS, comme le montre l’image ci-dessus. Cette empreinte digitale a été associée au malware Tofsee , où les systèmes infectés par Tofsee sont utilisés dans le cadre d'un botnet DDoS.

Les attaquants ont exploité différentes zones géographiques dans l’espoir de trouver une faille dans les protections de géolocalisation.
Différentes combinaisons de méthodes HTTP et d'URL ciblées lors de l'attaque.

Le SOC F5 utilise diverses stratégies pour se défendre contre l'attaque, notamment le filtrage du trafic, l'intelligence IP et la limitation du débit. Cela permet à l’équipe d’identifier et de bloquer uniquement le trafic malveillant tout en permettant au trafic légitime de continuer à atteindre le site Web. Un autre élément clé d’une atténuation réussie est l’utilisation par l’équipe de renseignements sur les menaces en temps réel et de capacités d’atténuation automatique des attaques DDoS L7, qui ont bloqué des éléments de cette attaque en temps réel sans intervention humaine. Ces informations permettent à l’équipe de garder une longueur d’avance sur les attaquants et d’ajuster rapidement ses défenses à mesure que l’attaque évolue à travers les zones géographiques, les différentes adresses IP et les nouveaux chemins d’attaque.

L'atténuation réussie des attaques DDoS L7 par Killnet et d'autres groupes représente une nouvelle norme. Découvrez plus d'informations sur les attaques DDoS dans notre rapport Tendances des attaques DDoS 2023 de F5 Labs . Ce récapitulatif d’attaque souligne l’importance de disposer d’une infrastructure de sécurité multicouche et d’une équipe de sécurité bien formée, prête à intervenir en temps réel. En utilisant une combinaison de filtrage du trafic, de limitation du débit, de nettoyage DDoS basé sur le cloud, de veille sur les menaces en temps réel et d'un plan de reprise après sinistre solide, les organisations peuvent se protéger contre les attaques DDoS les plus sophistiquées ciblant leur infrastructure et leurs applications.

Si vous êtes victime d'une attaque perturbatrice et avez besoin d'une intégration d'urgence aux services cloud distribués F5, contactez notre ligne d'assistance d'urgence à l'adresse suivante : (866) 329-4253 ou +1 (206) 272-7969