Annoncée dans le rapport Threat Landscape Report-Q1 2020, l’attaque a été contrée par AWS Shield, le service géré de protection contre les menaces. Son objectif est de protéger les applications fonctionnant sur AWS contre l’exploitation des vulnérabilités des applications, les bad bots et les attaques par déni de service distribué (DDoS).
Ce rapport sur les paysages de menaces fournit un résumé des menaces détectées et atténuées par le bouclier AWS. Les données de ce rapport proviennent des systèmes utilisés par AWS Shield pour protéger la disponibilité d’AWS, protéger les applications fonctionnant sur le cloud et alerter les ingénieurs AWS des changements dans le paysage des menaces.
Ainsi durant le premier trimestre 2020, l’activité malveillante qui a visé le cloud d’Amazon, et ses clients, a augmenté de 10 %, ce qui peut sembler peu par rapport aux attaques ciblées sur les personnes (hameçonnage, harponnage, malwares…), mais la violence des attaques s’est plutôt concrétisée via leurs volumes. Le volume de l’attaque la plus virulente était de 2,3 Tbps, contre 600 Mbps pour la plus volumineuse un trimestre plus tôt (Q4 2019), soit une augmentation de 283 %. Si l’on compare les premiers trimestres 2019 et 2020, les chiffres sont sensiblement les mêmes : 8 Mbps contre 2,3 Tbps, mais une augmentation de « seulement » 188 % du volume des attaques. Amazon n’a pas divulgué le client ciblé par cette attaque. En ce qui concerne le nombre des attaques, il a augmenté de 23 % au Q1 2020 par rapport au Q1 2019.
D’après les explications d’Amazon, cette escalade du nombre d’attaques s’explique par l’augmentation du nombre d’applications hébergées dans son cloud, l’amélioration de la détection d’AWS Shield, et la fréquence à laquelle les applications sont visées par des menaces externes. Cette évolution s’explique aussi, selon AWS, par l’augmentation du nombre d’événements liés à la couche d’application web. L’attaque volumétrique de 2,3 Tbps a utilisé la réflexion CLDAP. Son volume a été d’environ 44 % plus important que tout événement volumétrique du réseau précédemment détecté sur AWS. D’après le rapport cette attaque de réflexion CLDAP a provoqué 3 jours de menace élevée pendant une seule semaine en février 2020, avant de s’effondrer.
Les attaques DDoS sont la principale menace volumétrique pesant sur grands réseaux. Les vecteurs DDoS les plus couramment observés sont les attaques par réflexion UDP. Cela inclut des attaques comme la réflexion DNS, la réflexion NTP, la réflexion SSDP, et bien d’autres. Chacun de ces vecteurs est similaire en ce sens qu’un attaquant usurpe l’adresse IP source de l’application victime et inonde les services UDP légitimes sur Internet. Nombre de ces services répondront involontairement par un ou plusieurs paquets plus volumineux, ce qui entraînera un plus grand afflux de trafic vers l’application victime.
Les plus grandes attaques DDoS connues sont des attaques par réflexion UDP. Il est courant de voir les plus grandes attaques par réflexion UDP peu après la découverte d’un nouveau vecteur. Par exemple, au premier trimestre 2018, un nouveau vecteur de réflexion memcached a été découvert et les attaques de plus de 1 Tbps en volume sont devenues courantes dans les jours qui ont suivi. Du T2 2018 au T4 2019, les attaques les plus importantes observées sur les liens AWS ont été inférieures à 1 Tbps.
Le deuxième vecteur DDoS le plus souvent observé sur les AWS est une inondation SYN. Ce vecteur permet à un attaquant de générer un important flux de trafic tout en ciblant également la capacité de suivi de l’état de dispositifs tels que les serveurs, les équilibreurs de charge et les pare-feu. Les inondations de SYN sont souvent usurpées, ce qui signifie qu’il n’est généralement pas utile de bloquer l’attaque par l’adresse IP source. Les paquets d’inondation SYN sont souvent très petits, ce qui peut rendre l’attaque plus difficile à absorber.
En outre, chaque paquet SYN peut être interprété par l’application comme une nouvelle tentative de connexion. Cela peut empêcher des utilisateurs finaux valables de se connecter à l’application si ses ressources sont épuisées. Ces attaques sont généralement plus petites que les attaques par réflexion UDP lorsqu’elles sont évaluées en bits, mais plus grandes lorsqu’elles sont évaluées en paquets. Au premier trimestre 2020, les inondations du SYN observées par AWS étaient conformes à celles observées au cours des trimestres précédents.