Протягом кількох останніх місяців до кіберполіції надходить значно більша кількість звернень з фінансових установ державного та приватного сектору, транспортних компаній, державних підприємств та провайдерів доступу до мережі Інтернет щодо вимагання у них коштів хакерською групою «LizardSquad».

Жертвам, від імені так званої «LizardSquad», на електронні поштові скриньки надходять листи з повідомленням, що їхню установу/підприємство/компанію обрано для наступної DDoS-атаки. Зазначається, що ця атака значно вплине на функціонування установи/підприємства/компанії, а можливо, навіть заблокує його роботу. Для того щоб уникнути таких наслідків, потерпілі мають сплатити хакерам 3 BTC. У разі несплати комісія буде збільшена на 5 BTC за кожен день, який пройшов без оплати.

На даний час працівники Департаменту кіберполіції супроводжують низку кримінальних проваджень, у межах яких проводяться слідчі (розшукові) заходи, спрямовані на встановлення групи невідомих осіб, які самі себе називають хакерською групою LizardSquad.

Спеціалісти Департаменту кіберполіції звертають увагу користувачів, що оплата за, так би мовити, “протекцію від атак” не надає повноцінного захисту та 100% вірогідності уникнення хакерської атаки. Сплата цих коштів лише фінансує подальшу протиправну діяльність зловмисників та підтверджує правильність обраної ними схеми шантажу.

Крім того, окремим аспектом, який підсилює ефект таких листів, є те, що останнім часом спостерігається значне збільшення кількості випадків використання нового вектора кібератаки – використання протоколу Memcached.

Вже є підтверджені факти використання хакерами уразливих сервісів Memcached для проведення низки DDoS-атак, включаючи масовану атаку на сайт Github і найбільшу в світі DDoS-атаку (потужністю приблизно 1,7 Тбіт/с) на американську фірму.

Таким чином, можна констатувати, що в усьому світі більшість серверів, на яких використовується протокол Memcached, були розгорнуті з використанням небезпечної конфігурації за замовчуванням. Так, протокол Memcached за своєю природою не призначався для доступу до мережі Інтернет. Однак ризик налаштувань “за замовчуванням” полягає у тому, що у деяких дистрибутивах ОС Linux Memcached прослуховує TCP і UDP-порти 11211 на всіх інтерфейсах. На сьогодні, за оцінками експертів, понад 88 тисяч серверів Memcached піддаються потенційному ризику зловживання вразливістю. Більшість цих серверів розташована в Європі і Північній Америці.

Алгоритм атаки базується на особливостях роботи протоколу Memcached. Коли в систему надходить запит на отримання Memcached, алгоритм формує відповідь, збираючи запитані дані з кешу та відправляє їх мережею в безперервному потоці. До того ж, з метою підсилення коефіцієнту ефективності атаки, зловмисники можуть впливати на обсяг переданих даних шляхом багатократного повторення запиту або безпосередньо зазначаючи необхідну кількість копій запитуваної інформації. Наприклад: зловмисник може мати намір розмістити значення 1 МБ в сховище даних і використовувати підроблений запит пакета UDP, який має значення 1 МБ, однак сотні разів за запит. Це призведе до масивного коефіцієнту посилення, коли запит 203 байта призводить до 100 МБ відповіді за кожен запит. Комбінуючи цю особливість протоколу Memcached із підміною IP-адреси отримувача відповіді на первинний запит, формується достатньо масивна DDoS-атака.

Аналіз наявних даних є підставою вважати, що злочинцям вдалося додати абсолютно нову і надзвичайно ефективну техніку до вже існуючої кібер-зброї, що може привести до подвійних DDoS-атак шляхом використання неправильно сконфігурованих серверів Memcached, які легко доступні через загальнодоступне Інтернет-з’єднання. Враховуючи кількість потенційно вразливих серверів у всьому світі, припускаючи ймовірність їх компрометації злочинцями, слід припустити, що може сформуватися така ситуація, коли великомасштабні DDoS-атаки стануть тенденцією.

Відтак спеціалісти Департаменту кіберполіції радять адміністраторам серверів, на яких застосовується протокол Memcached:

• перевірити факт наявності вразливості у конфігураціях відповідного сервісу;
• переконатися,що протокол Memcached прослуховує виключно локальний інтерфейс, або за потреби лише ті інтерфейси, які не мають прямого доступу до мережі Інтернет, а також захищені належним чином відповідними налаштуваннями фаєрволу.

Крім того, варто увімкнути систему логування, щоб фіксувати всі факти втручання в роботу серверів Memcached сторонніх осіб.