بات‌نت Mantis پشت بزرگترین حمله HTTPS DDOS به مشتریان سرویس‌های Cloudflare

بات‌نت در پشت بزرگترین حمله گسترده منع سرویس (DDOS) در ژوئن ۲۰۲۲ قرار داشته است که حجم عظیمی از مشتریان Cloudflare (نزدیک ۱۰۰۰ مشتری) را مورد حمله قرار داده است. این شرکت امنیت و عملکرد وب که این بات‌نت قدرتمند را mantis می‌نامد، حدود ۳۰۰۰ حمله HTTP DDOS بر روی کاربران را به این بات‌نت نسبت می‌دهد.

بيشترين حملات به صنعت‌هايي همچون اينترنت، مخابرات، بازي و رسانه، امور مالي، تجارت و خريد صورت مي‌گيرد. بیش از ۲۰% این حملات شرکت‌های مستقر در ایالات متحده و پس از آن در رتبه‌های بعدی روسیه، ترکیه، فرانسه، هلند، اوکراین، انگلستان، آلمان و کانادا را مورد هدف قرار داده‌اند.

ماه گذشته این شرکت اعلام کرد که با استفاده از طرح رایگان خود که بیش از ۲۶ میلیون درخواست را در ثانیه (RPS) دریافت کرده بود که هر node تقریبا ۵۲۰۰ RPS تولید می‌کرد، یک حمله رکورد‌شکنی DDOS را کاهش داد. سونامی ترافیک ناخواسته کمتر از ۳۰ ثانیه به طول انجامید و بیش از ۲۱۲ میلیون درخواست HTTPS از بیش از ۱۵۰۰ شبکه در ۱۲۱ کشور ایجاد کرد که در راس آنها اندونزی، ایالات متحده، برزیل، روسیه و هند قرار می‌گیرد.

Yoachimikاز Cloudflare بیان کرد: بات‌نت mantis ناوگان کوچکی از حدود ۵۰۰۰ بات را اداره می‌کند، اما با آنها قابلیت ایجاد نیروی عظیمی را دارد که می‌تواند در برابر بزرگترین حملات DDOS که تاکنون مشاهده کرده‌ایم، پاسخگو باشد.

Mantis به برخی از دلایل متمایز است. اولین مورد، توانایی آن در انجام حملات HTTPS DDOS است که به دلیل منابع مورد نیاز برای تولید یک اتصال امن و رمزنگاری شده TLS ،دارای هزینه سنگینی است. دلیل دوم این می‌باشد که، برخلاف سایر بات‌نت‌های سنتی که به دستگاه‌های IOT مانند DVR و روترها متکی هستند،Mantis از ماشین‌های مجازی ربوده شده و سرورهای قدرتمند استفاده می‌کند و آن را به منابع بیشتری مجهز می‌کند.

این حملات حجیم قصد دارند با ایجاد ترافیک بیشتر از توان پردازشی هدف، باعث اتمام تمام منابع هدف شوند. در حالیکه دشمنان به‌طور سنتی از UDP برای راه‌اندازی حملات تقویتی استفاده می‌کردند، تغییری به سمت بردارهای تقویت منعکس شده جدیدتر TCP که از جعبه‌های مبانی استفاده می‌کنند، وجود دارد.

مایکروسافت در ماه می 2022 افشا کرد که از حدود ۱۷۵۰۰۰ حمله تقویتی منعکس شده UDP در سال گذشته که زیرساخت Azure آن را مورد هدف گرفته بودند، جلوگیری کرده است. همچنین یک حمله تقویتی منعکس شده با TCP به یک منبع Azure در آسیا، که به ۳۰ میلیون بسته در ثانیه (pps) رسید و ۱۵ دقیقه طول کشید، را رصد کرده است.

تیم شبکه Azure خاطرنشان کرد: « حمله‌های تقویت‌کننده منعکس‌شده اینجا هستند تا چالشی جدی برای جامعه اینترنتی ایجاد کنند». آنها به تکامل خود ادامه می‌دهند و از آسیب‌پذیری‌های جدید در پروتکل‌ها و پیاده‌سازی نرم‌افزارها برای دور زدن اقدامات متقابل متعارف استفاده می‌کنند.