GitHub Mengalami Serangan DDoS Terbesar Yang Pernah Dirakam

GitHub, laman web pengehosan dan pengurusan kod sumber (source code hosting and management) terkemuka, telah mengalami serangan nafi khidmat teragih (distributed denial of service, DDoS) terbesar yang pernah direkodkan dalam sejarah, sebagaimana yang dilaporkan oleh Akamai [2] dan laman GitHub Engineering [1]. Serangan tersebut telah mengebabkan laman GitHub tidak dapat diakses dari 1:21 AM hingga 1:30 AM pada 1 Mac 2018 waktu Malaysia. 

Ketika kemuncak serangan pada 1:28 AM, trafik serangan yang terjana adalah sebesar 1.3 Tbps (1.3 Terabit-per-saat). Sebagai perbandingan mudah, serangan sebesar ini memerlukan sebanyak lebih dari 130,000 pelanggan menggunakan kapasiti muat naik sepenuhnya dengan menggunakan pakej internet unifi advance plan 30Mbps (kapasiti muat naik sebanyak 10Mbps). Ketika serangan, jurutera GitHub telah mengambil keputusan untuk mengalih trafik ke Akamai untuk membantu menyediakan kapasiti rangkaian pinggir (edge network capacity) yang lebih.

Trafik internet yang diterima Akamai ketika serangan
Trafik internet yang diterima Akamai ketika serangan
Kredit: Akamai [2]

[https://blog.mybit.my/?p=1555]

IKLAN

Serangan tersebut menggunakan kelemahan keselamatan yang ada pada perisian pelayan Memcached. Memcached adalah perisian yang biasanya digunakan pada pelayan laman web untuk melakukan “memory caching” bagi mempercepatkan maklumbalas bacaan dari pangkalan data [3].

Kelemahan keselamatan itu berlaku akibat kegagalan pentadbir pelayan untuk melakukan konfigurasi yang betul dan selamat pada perisian pelayan Memcached tersebut. Ini menyebabkan port UDP 11,211 yang digunakan oleh Memcached terbuka dan terdedah kepada rangkaian awam internet.

Tambahan pula, permintaan (request) kepada pendengar (listener) UDP dan TCP pada perisian Memcached boleh dilakukan tanpa memerlukan pengesahan (authentication). Oleh kerana alamat internet pada paket UDP boleh diperdaya (spoof), maka kelemahan keselamatan pada Memcached tersebut boleh digunakan sebagai pemantul (reflection); alamat sumber permintaan (source request address) diperdaya dan ditetapkan kepada alamat internet mangsa, jadi perisian Memcached akan membanjiri alamat internet mangsa dengan paket jawapan.

Malah, serangan menggunakan kelemahan keselamatan pada Memcached tersebut mempunyai faktor penguatan (amplification factor) lebih dari 50,000. Ini bermaksud satu permintaan bersaiz 203 bait boleh menjana trafik maklumbalas sebesar 100 megabait sebagaimana yang dilaporkan oleh Akamai [2]. Pada 27 Februari 2019, laman Shodan [4] menunjukkan terdapat lebih dari 93,000 pelayan Memcached yang terdedah kepada internet awam yang boleh digunakan untuk menjana serangan nafi khidmat teragih (distributed denial of service, DDoS) seperti ini.

Pelayan Memcached yang terdedah kepada rangkaian awam internet
Pelayan Memcached yang terdedah kepada rangkaian awam internet
Kredit: Shodan [4]

[https://blog.mybit.my/?p=1555]

Minta Tebusan 50 Monero Pada Mesej Serangan

Akamai [8] dan Bleeping Computer [5] telah melaporkan pada 2 Mac 2018 bahawa terdapat serangan nafi khidmat teragih (distributed denial of service, DDoS) lain yang turut menggunakan kelemahan keselamatan Memcached tersebut, mengandungi mesej meminta tebusan sebanyak 50 Monero oleh penyerang. Monero (XMR) [6] adalah mata wang kripto yang memfokuskan kepada kebolehan untuk membuat transaksi sulit dan tidak dapat dikesan (transaksi mata wang kripto lain seperti bitcoin adalah tidak 100% sulit dan masih boleh dikesan [7]). Ketika artikel ini ditulis, 50 Monero bernilai lebih dari RM 67,600.

Mesej pada serangan nafi khidmat teragih (distributed denial of service, DDoS)
Ugutan pada mesej serangan nafi khidmat teragih (distributed denial of service, DDoS)
Kredit: Akamai [8]

 

Walaupun begitu, laporan tersebut menyatakan bahawa penyerang tidak mempunyai cara untuk mengetahui siapakah mangsa yang telah membuat bayaran kerana tiada arahan terperinci pada mesej ugutan, tidak seperti mesej yang dijumpai pada perisian tebusan (ransomware) atau serangan nafi khidmat teragih (distributed denial of service, DDoS) lain yang turut meminta wang tebusan [9]. Tambahan pula, penyerang menggunakan alamat dompet Monero yang sama untuk serangan yang berlainan.

[https://blog.mybit.my/?p=1555]

Kredit gambar: bsdrouin [0]

 

Rujukan:

[0] https://pixabay.com/en/network-server-system-2402637/

[1] February 28th DDoS Incident Report: https://githubengineering.com/ddos-incident-report/

[2] MEMCACHED-FUELED 1.3 TBPS ATTACKS: https://blogs.akamai.com/2018/03/memcached-fueled-13-tbps-attacks.html

[3] Memcached: https://memcached.org/

[4] Public Memcached: https://www.shodan.io/report/N7ttll7J

[5] Some Memcached DDoS Attackers Are Asking for a Ransom Demand in Monero: https://www.bleepingcomputer.com/news/security/some-memcached-ddos-attackers-are-asking-for-a-ransom-demand-in-monero/

[6] What is Monero (XMR)?: https://getmonero.org/get-started/what-is-monero/

[7] Protect your privacy: https://bitcoin.org/en/protect-your-privacy

[8] MEMCACHED, NOW WITH EXTORTION!: https://blogs.akamai.com/2018/03/memcached-now-with-extortion.html

[9] $1 Million Ransomware Payment Has Spurred New DDoS-for-Bitcoin Attacks: https://www.bleepingcomputer.com/news/security/-1-million-ransomware-payment-has-spurred-new-ddos-for-bitcoin-attacks/

Anda Mungkin Juga Berminat

Opera 51 Datang Dengan Kelajuan Pelayaran Yang Lebih Baik Opera 51 versi stabil telah dikeluarkan pada 7 Februari 2018. Pelayar web berasaskan Chromium itu datang dengan beberapa fungsi baru bagi mereka yang mencari pelayar web alternatif. Fungsi-fungsi sepe...