VoIP Hizmetleri Yıkıcı DDoS Saldırılarına Maruz Kalırken, HTTPS Saldırıları Rekor Seviyeye Ulaştı

Bir güvenlik şirketi tarafından kamuoyuyla paylaşılan 2021’in üçüncü çeyreğine ait raporda, VoIP hizmetlerine yönelik saldırıların rekor seviyeye ulaştığı belirtildi. Raporda artan HTTPS DDoS saldırıları, terabit büyüklüğünde ağ saldırıları ve bugüne dek tespit edilen en büyük botneti temsil eden Meris’e yer verildi. Voice over IP (VoIP) hizmeti sunan şirketlere yönelik fidye DDoS saldırılarının ani yükselişine dikkat çekilirken, onlarca şirketi etkileyen bandwidth.com saldırısı örnek olarak gösterildi.

ABD, yeni nesil saldırıların ana hedefi olurken, Britanya ve Kanada’nın da en çok saldırıya maruz kalan ülkeler arasında yer aldığı bildirildi. Bir önceki çeyrek ile kıyaslandığında, bilgisayar yazılımı, oyun, kumar, teknoloji ve internet şirketlerini hedef alan saldırılarda %573 oranında artış görüldü.

DDoS saldırıları küresel ölçekte %44 oranında artarken, Ortadoğu ve Afrika bölgesinde %80 artış kaydedildi. Her 100 internet paketinden üçünün DDoS saldırısını temsil ettiği Kuzey Afrika ülkesi Fas, küresel alanda birinci oldu. Geçtiğimiz yılın aynı çeyreğine kıyasla etkisi artan DDoS saldırılarının oranı bir yılda %3.549 arttı. Siber korsanların ağırlıklı olarak VoIP hizmetlerini hedef aldığı ve altyapıları çökertmeye çalıştıkları ifade edildi.

DDoS saldırılarının büyük kısmı Çin, ABD ve Hindistan kaynaklı olarak belirse de, Çin merkezli saldırıların son bir yıl içinde %30 azaldığı bilgisi dikkat çekti.

Meris

Raporda, Nesnelerin İnterneti (IoT) cihazları tarafından altyapısı kurulan Meris botnetine geniş yer ayrıldı. VCR, TV, router gibi cihazları ağına alan botnet, genelde DDoS saldırıları düzenlemek için kullanılıyor.

Güvenlik uzmanları, Meris‘in bilinen en güçlü HTTP DDoS saldırılarını düzenlemek için kullanıldığına işaret ediyor. Öte yandan 2021’in üçüncü çeyreğinde, 17,2 rps (saniye başında düşen talep) ile finansal hizmetleri hedef alan en büyük saldırılar gerçekleştirildi.

Meris’in aynı zamanda küresel alanda haber sayfaları dahil olmak üzere birçok ağ ve şirketi hedef aldığı biliniyor. Raporda, Meris botnetinin Letonya merkezli MikroTik tarafından üretilen router ve diğer ağ cihazlarını etkilediği, MikroTik RouterOS’te tespit edilen zafiyet kullanılarak halen güvenlik yaması yapılmamış cihazların botnete düştüğü ve DDoS saldırıları için kullanıldığı detayları da uyarı maiyetinde aktarılmış.

2016’da tespit edilen Mirai botneti akıllı kameralar gibi düşük işlem gücüne sahip cihazları hedef alırken, Meris yüksek işlem gücüne sahip cihazları ağına düşürerek büyümeye devam eden bir ağ altyapısını temsil ediyor. Veri transferi özelliği de bulunan cihazlar ile Meris, büyük çaplı zarar sunabilecek bir sisteme dönüşmüş durumda. Buna rağmen söz konusu botnetin bugüne kadar çok büyük sistem arızalarına yol açmadığı belirtildi.

Meris ile düzenlenen saldırıların şiddetinin en yüksek 1,2 Tbps olmak üzere birçok kez 1 Tbps’nin üzerine çıktığı bilgisi de raporda öne çıkanlar arasında.

Büyük boyutlu saldırılar artıyor

Raporda, saldırıların yoğunluğu ve şiddetinin Eylül’den itibaren artış gösterdiği not düşüldü. Bir önceki çeyreğe göre 500 Mbps ile 10 Gbps arasında değişen saldırıların oranı %126-%289 artış gösterdi. 100 Gbps üzerindeki saldırılar ise %14 arttı. 500 ile 1 Gpbs arasındaki saldırılar bir yılda %289, 1-100 Gbps arasındaki saldırılar ise %126 arttı. Ortaya çıkan trend, küçük boyutlu saldırılara kıyasla büyük boyutluların artmaya başladığını gösteriyor.

Birçok saldırının bir saate yakın sürmesi, DDoS önleme çözümlerinin otomasyon ile sürekli güncel tutulması ihtiyacını hatırlatıyor.

Önceki çeyreklerde yaşanan saldırılara kıyasla, birçok saldırı kısa süreli gerçekleşiyor. Son bir yıl içinde bir saatin altında süren DDoS saldırılarının oranı %94,4 olurken, 6 saati aşan saldırıların oranı sadece %0,4 olarak belirdi. Aynı zamanda 1-2 saat süren saldırıların oranı %165 artış gösterdi.

Güvenlik araştırmacıları, IoT cihazlarının temelini kurduğu botnetler sayesinde DDoS saldırılarının şiddetini artırmasına şaşırmadıklarını belirtiyor.

Olay-tepki planı büyük önem taşıyor

Şirketlerin olay-tepki planı bulundurması DDoS saldırılarını önlemek adına kritik önem taşıyor. DDoS saldırısını ve hangi hedefin etkilendiğini anlayabilmek, güvenlik ekiplerine ortaya çıkan zararı kısa sürede ortadan kaldırmaları için imkan veriyor. Şirketlerin bu kapsamda hacimsel L4 DDoS koruması ile L7 DDoS korumalarını benimsemeleri önem taşıyor.

Güvenlik uzmanları DDoS saldırılarının geçmişte amatör siber saldırganlar (newbie olarak da bilinir) ile ilişkilendirildiğini, ancak yakın geçmişten bu yana artık ileri düzey saldırılar düzenleyen aktörlerin yöntemi haline geldiğini not düştü. Son iki yıl içerisinde DDoS saldırılarının fidye saldırıları ile birleştirilmesi, gelecekteki siber saldırıların konsepti hakkında da ipucu sunuyor.

Güvenlik uzmanları finansal çıkar amaçlayan kampanyalarda DDoS ve fidye yazılım saldırılarının birleştirilebileceğini, DDoS ile bu amaca hizmet edileceği gibi birçoğunun altyapısının da hedefleneceğini bildiriyor.