A lire via Brian Krebs, CloudFlare et Arbor :

Ces derniers mois a été constaté l’explosion du nombre d’attaques DDoS exploitant une faiblesse de configuration dans des serveurs de temps NTP publics.
Le protocole NTP est basé sur UDP, rendant l’adresse expéditrice d’un datagramme facilement falsifiable (spoofing), ce qui fait de NTP un candidat pour les attaques DDoS.

Mais ce qui a intéressé les pirates c’est une fonctionnalité découverte récemment qui offre un bon facteur d’amplification : il est en effet possible d’interroger un serveur NTP via un petit message pour q’il retourne la liste des 600 dernières adresses IPs s’étant connectées au serveur (un message… d’un bon gabarit en comparaison).

Les pirates n’ont alors plus qu’à trouver des serveurs NTP mal configurés et les questionner en se faisant passer pour la victime…

Ces derniers jours, ces attaques ont eu des répercussions visibles en Europe puisque OVH a été à la fois l’instrument (serveurs mal configurés) et la cible d’attaques NTP…

,

Via eWeek :

Le nombre d’attaques DDoS exploitant le protocole NTP est en plein boum. Il semble que les pirates utilisent un programme officiel baptisé monlist qui provoque par défaut un effet d’amplification.
On trouve déjà des programmes à disposition pour réaliser différents opérations (info gathering par exemple) exploitant cette “fonctionnalité”.

Via le London Evening Standard :

Un jeune londonien de 16 ans a été arrêté dans le cadre d’une opération baptisée Rashlike ayant pour but de retrouver les auteurs de l’attaque DDoS qui a touché le service Spamhauss.

En raison de l’age de la personne, son identité n’est pas révélé par le PeCU (Police E-Crime Unit). En revanche les enquêteurs ont retrouvé des sommes importantes sur son compte en banque.

Il aurait vendu un service de DDoS que ça ne m’étonnerait pas…

, , ,

Via ZDNet :

La compagnie ESET a découvert que le logiciel Orbit Downloader a une fonctionnalité cachée bien particulière : le logiciel télécharge une DLL et un fichier texte contenant des URLs sur lesquelles le logiciel lance une attaque DDoS…

Mauvaise intention de l’éditeur du logiciel, d’un développeur ou tout simplement les conséquences d’une intrusion sur le site de l’éditeur ?

,

Via KrebsOnSecurity :

Brian Krebs relate comment un québécois de 28 ans s’est fait prendre la main dans le sac à payer le service de DDoS ragebooter pour lancer une attaque d’ampleur sur le site de son ancien employeur, faisant même tomber le FAI de l’employeur en question…
Indice : le gus a fait un “Like” sur la page Facebook du service de DDoS et l’admin de ragebooter est assez bavard comme l’indiquait un précédent article de Krebs (l’admin collaborerait avec le FBI).

,

La société PayPal voit d’un mauvais oeil que Wikileaks puisse recevoir des fonds par son site, pourtant comme le révèle Brian Krebs, de nombreux services dits “booters” qui monnayent des services de DDoS se font payer via PayPal en toute impunité.

Dans son article, Krebs se penche en particulier sur le cas de asylumstresser.com, un site qui propose toute une panoplie d’attaques DDoS et se présente ouvertement comme un service qui permet de se débarrasser d’un site concurrent.
Pourtant quand son PDG est interrogé ce dernier assure qu’il ne s’agit que de services de “stress test”. Bref on rigole.

Le site se cache comme des services similaires derrière CloudFlare mais il semble qu’il soit hébergé par un hoster buller-proof roumain nommé Voxility.

Qui plus est, déception pour les clients de ces services : une analyse a montré que quelque soit le type de DDoS demandé, les seules attaques lancées étaient soit du UDP flooding soit des attaques par amplification DNS…

Via KrebsOnSecurity :

La police espagnole a (à priori) arrêté à Barcelone celui qui était présenté comme le représentant de l’entreprise Cyberbunker suspecté d’être à l’origine des récentes attaques DDoS sur SpamHauss.
En effet la seule info qui a filtrée est qu’un néerlandais de 35 ans a été arrêté dans cette affaire et qu’il utilise le pseudo SK qui correspond aux initiales de Sven Olaf Kamphuis.

,

A voir sur geek.com :

Les administrateurs du site du logiciel multimédia VidéoLan ont du faire face à une attaque DDoS d’environ 400 requêtes HTTP par secondes.
A première vue, rien de bien gênant, sauf que la ressource demandée était l’exécutable de VLC soit environ 200 téléchargements par secondes ou 30 Gbps.

On est certes loin du record de SpamHauss mais ça fait quand même mal.
Heureusement les requêtes étaient facilement reconnaissables et il a suffit de reconfigurer le serveur Nginx pour réduire à néant cette attaque.

La motivation des pirates n’est pas connue (tentative d’extorsion ?)

Via TheRegister :

La marine égyptienne a arrêté au nord du port d’Alexandrie trois plongeurs qui tentaient de couper un câble sous-marin amenant le réseau Internet au pays (nom du câble : SEA-ME-WE 4 pour South East Asia Middle East Western Europe 4).
En 2008 ce même câble avait subit un accident et l’Internet égyptien avait ainsi été réduit de 75%.

Ni la motivation ni l’identité des plongeurs n’a pour le moment été révélé. Intention politique ou envie de voler du cuivre ?

,

Via BBC :

Les serveurs DNS de l’organisation anti-spam Spamhauss ont subit une attaque DDoS sans précédent qui s’est étendue sur une semaine et qui a culminé jusqu’à 300 gigabits par seconde !
C’est bien au delà de ce à quoi à dû faire face la Géorgie ou plus récemment CloudFlare.
Bref ce nouveau record est trois fois plus important que le précédent relevé en 2012.

Les auteurs ? Il s’agirait d’un hébergeur bullet-proof néerlandais baptisé Cyberbunker qui n’aurait pas apprécié de se retrouver dans les listes noires de Spamhauss. Derrière cet hébergeur on trouverait des cyber-gangs d’Europe de l’Est, le même business que faisait RBN.

,