Gli attacchi DDoS restano fra le maggiori minacce del momento, e i cyber criminali stanno sfruttando nuovi protocolli di rete per perpetrarli. Fra quelli più bersagliati ci sono CoAP (Constrained Application Protocol), WS-DD (Web Services Dynamic Discovery), ARMS (Apple Remote Management Service) e il software di automazione basato sul Web Jenkins.

Ad emanare l'allerta è stato l'FBI, secondo cui CoAP, WS-DD e ARMS sono già stati usati per scatenare massicci attacchi DDoS reali. Per dire il vero alcuni degli attacchi non sono del tutto nuovi. I primi attacchi che sfruttano le funzionalità di trasmissione multicast e dei comandi del protocollo CoAP risalgono a dicembre 2018. A gennaio 2019 la stragrande maggioranza dei dispositivi CoAP accessibili da Internet era dislocato in Cina.

Lo sfruttamento di WS-DD è invece documentato per la prima volta ad agosto 2019. In quell'occasione i cyber criminali hanno sfruttato il Web Services Dynamic Discovery per lanciare più di 130 attacchi DDoS, alcuni con dimensioni di oltre 350 Gigabit al secondo (Gbps).
WS-DD è legato a doppio filo con i dispositivi IoT, che sappiamo essere bersagliati da attacchi informatici. I dispositivi IoT, infatti, utilizzano il protocollo WS-DD per rilevare automaticamente i nuovi dispositivi connessi a Internet nelle vicinanze. Inoltre, WS-DD opera utilizzando UDP, che consente agli attori di falsificare l'indirizzo IP di una vittima. Nel 2019 diversi ricercatori di sicurezza hanno segnalato un aumento dell'uso di protocolli non standard e di dispositivi IoT non configurati correttamente per amplificare gli attacchi DDoS. Ad agosto 2019 c'erano 630.000 dispositivi IoT accessibili a Internet con protocollo WS-DD abilitato.

ARMS e Jenkins

A ottobre 2019 i cyber criminali hanno sfruttato l'Apple Remote Management Service (ARMS) per condurre attacchi di amplificazione DDoS. Si tratta di una parte della funzione Apple Remote Desktop (ARD) utilizzata principalmente per gestire grandi reti di computer Mac in università e aziende. Quando ARD è abilitato, il servizio ARMS "ascolta" sulla porta 3283 i comandi in arrivo sui dispositivi Apple. Gli attaccanti usano questa porta per lanciare attacchi di amplificazione DDoS con un fattore di amplificazione di 35,5:1.

Jenkins è uno strumento open source di supporto allo sviluppo software. A febbraio 2020 è stata identificata nel Regno Unito una vulnerabilità nei protocolli di individuazione della rete dei server Jenkins utilizzati per supportare lo sviluppo software. I cyber criminali potevano sfruttarla per condurre attacchi di amplificazione DDoS. Secondo le stime più recenti, i criminali informatici potrebbero utilizzare i server Jenkins vulnerabili per amplificare di 100 volte un attacco DDoS contro l'infrastruttura online di vittime in tutti i settori.

L'allerta

I funzionari dell'FBI ritengono che le minacce indicate continueranno ad essere sfruttate per scatenare e amplificare attacchi DDoS. Al momento i protocolli indicati sono stati usati sporadicamente, ma gli esperti del settore si aspettano che verranno ampiamente sfruttati per creare botnet su larga scala in grado di agevolare devastanti attacchi DDoS.

-L'avviso ha lo scopo di mettere in guardia le aziende circa l'imminente pericolo, e di spingerle a investire in soluzioni per la mitigazione di attacchi DDoS. A tale riguardo sono necessari accordi di collaborazione con i fornitori di servizi Internet in modo da poter rilevare tempestivamente gli attacchi che sfruttando questi vettori e attivare precocemente una risposta adeguata. Questi protocolli, infatti, non possono essere rimossi o disattivati a titolo cautelativo perché sono essenziali per i dispositivi in cui vengono utilizzati.