Flere av de norske nettstedene til Egmont Publishing Digital ble rammet av rettet DDoS-angrep i forrige uke.
Flere av de norske nettstedene til Egmont Publishing Digital ble rammet av rettet DDoS-angrep i forrige uke. (Bilde: Colourbox)
EKSTRA

DDoS

Norske nettsteder ble utsatt for svært sofistikert DDoS-angrep

Tok i bruk stadig nye angrepsvektorer.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Flere av de norske nettpublikasjonene til Egmont Publishing Digital ble over en periode på flere dager i forrige uke utsatt for et kraftig, distribuert tjenestenektangrep (DDoS). Dette forteller Sturla Frøyland, teknologisjef hos Egmont Publishing Digital, til digi.no. 

Angrepet startet natt til tirsdag 22. mai.

Doktor Online

– Det var et DDoS-angrep fra et botnet som har angrepet infrastrukturen til Redpill Linpro, som drifter tjenestene våre. Det var målrettet mot helt spesifikke tjenester hos oss i Egmont, og da særlig Doktor Online-tjenesten vår. Angrepet påvirket også tidvis forbrukernettstedet Klikk.no og flere av de største, brukergenererte innholdstjenestene i Norge, slik som forumet til Kvinneguiden, forteller Frøyland.

Sturla Frøyland hos Egmont Publishing Digital
Både teknologisjef Sturla Frøyland hos Egmont Publishing Digital og driftspartneren Redpill Linpro forteller åpent om DDoS-angrepet som rammet Egmont-nettsteder i forrige uke. Foto: Privat

– Selv om vi er vant til DoS-angrep, er dette i en skala som vi aldri har opplevd før. Det er dessuten ekstremt raffinert og målrettet, mener Frøyland. 

Samtidig peker han på at det er et tegn tiden at det er så lett å mobilisere et botnett for å utføre angrep som dette.

Slik var angrepet

Egmont har i perioden jobbet tett sammen med Redpill Linpro for å få avverget angrepet. Digi.no har nå mottatt en felles redegjørelse om angrepet fra de to selskapene. Det er Jimmy Olsen, teamleder og kundeansvarlig for Egmont, Bjørn Ruberg, sikkerhetsansvarlig for Redpill Linpros driftstjenester, samt Lars Olafsen, nordisk driftssjef hos Redpill Linpro, som uttaler seg. 

«Angrepet tok form som en serie prober på kveldstid, med påfølgende «fullt angrep» om natten norsk tid. Det varierte i angrepsform gjennom mange forskjellige faser, hvor mottiltak måtte tilpasses fortløpende for riktig å håndtere nye angrepsvektorer.

Det varierte i angrepsform gjennom mange forskjellige faser, hvor mottiltak måtte tilpasses fortløpende for riktig å håndtere nye angreps-vektorer.

Redpill Linpro

I startfasen gikk angrepet ut på å fylle connection tracking-tabellene i brannveggene. Siden gikk angrepet mer mot å fylle nettverksstacken til serverne. Dette manifesterer seg ved at serverne da ikke tar imot legitim trafikk fordi den er opptatt med å håndtere TCP-fragmenter (vi opplevde SYN-storm, FIN-storm, RST-storm og tilslutt en storm med pakker med tilfeldige flagg satt i headerne).

Etter hvert flyttet angrepet seg mot HTTP- og HTTPS-baserte teknikker for å spise opp ressurser på applikasjonslaget i stedet for på nettverkslaget. Her så vi noe som lignet Slowloris, hvor hensikten er å åpne mange ubrukte forbindelser slik at serverne skulle gå tomme for ressurser. UDP «reflection attacks» har også vært en del av angrepsserien. Noen prober mot selve forumet (forsøk på å utnytte sårbarheter) har også forekommet.

Angrepet bar preg av at noen aktivt jobbet på andre siden for å endre angrepsform hver gang vi foretok oss noe for å mitigere det. Dette er noe som vi ikke ser så ofte.»

Det siste angrepet ble avsluttet natt til søndag 27. mai, men angrepene skal ikke ha hatt merkbar effekt for de berørte nettstedene siden natt til fredag. 

Les også: Kunne drepe kritisk infrastruktur for 120 kroner. Nå er verdens største tjeneste for nettkriminelle satt ut av spill

Ble isolert 

Var angrepet kun rettet mot Egmont?
– Ja. Vi har sett én probe mot en annen kunde, men den ser ikke ut til å være relatert. Denne utviklet seg heller ikke til et fullblods angrep. Så alt tyder på at angrepet var fokusert på Egmont.

– Hvilke konsekvenser har angrepet fått for Redpill Linpro og kundene? 

I flere tilfeller endte vi opp med såkalt geo-blokking av trafikk.

Redpill Linpro

– Første natt påvirket dette noen av våre kunder da det påvirket delt infrastruktur, før Egmonts løsning ble isolert på egen infrastruktur. I løpet av uken, ettersom angrepene fortsatte, ble Egmonts forum gjentatte ganger påvirket enten ved tregheter eller ved nedetid når angrepet endret form, inntil vi fikk iverksatt mottiltak.

– I flere tilfeller endte vi opp med såkalt geo-blokking av trafikk. Dette betyr i praksis at lesere i visse deler av verden/visse land ikke har kunnet nå forumene. Dette er i skrivende stund (mandag ettermiddag, journ. anm.) fortsatt i kraft for visse land, og planen er å holde blokken aktiv noen døgn etter at angrepet har gitt seg.

Tiltakene

Hva har dere gjort for å avverge angrepet?

– Angrepet utviklet seg etterhvert som vi jobbet med mottiltak. Kort oppsummert har det gjennom uken blitt gjennomført følgende tiltak:

  • økte maskinvareressurser i frontend-laget på løsningen
  • oppsett av egen frontend-proxy hvis eneste formål er å avvise ugyldig trafikk
  • tuning av frontend-tjenester for å håndtere Slowloris-liknende angrep
  • bytte av IP-range
  • innføring av proxy hos transitt-leverandør
  • innføring av proxy via Cloudflare

Frøyland forteller i den forbindelse at partene også greide å tvinge angrepet til å eksponere seg på HTTP, altså via ukrypterte forbindelser.

– Dette gjorde at vi kunne samle inn mye mer data om hva som skjedde, sier han.

Sofistikert

– Er dette det største angrepet dere har opplevd?

– Det er nok ikke det største i ren trafikkmengde, men et av de (eller kanskje det) mest sofistikerte. Det er ikke ofte vi ser botnet-angrep hvor det helt klart sitter noen på andre siden og endrer angrepsform utfra våre tiltak på denne måten.

Denne typen sofistikerte og store angrep ser vi imidlertid sjelden.

Redpill Linpro

– Opplever Redpill Linpro ofte DDoS-angrep mot norske kunder?

– Som de fleste andre som publiserer noe på Internett blir kunder hos oss også tidvis utsatt for angrepsforsøk. Form, metodikk og størrelse på disse varierer kraftig. Denne typen sofistikerte og store angrep ser vi imidlertid sjelden.

– Hva kan dere fortelle om botnettet som ble brukt i angrepet?

– Det er dessverre ikke lett å si hvilke(t) botnet som deltok i angrepet. Skal en spekulere løst så kan det virke som om dette er et botnett basert på hjemmerutere og IoT-bokser, kanskje «VPNfilter» eller kanskje noe annet.

– Noe som muligens er interessant er at vi i perioden fikk abuse-meldinger fra ISP-er som klaget over at det gikk mye trafikk fra oss til dem, når det i realiteten var respons (inkludert avvisning) på trafikk fra de av ISP-ens kunder som uvitende deltok i angrepet, avslutter Redpill Linpro-representantene.

VPNFilter: Venter stort angrep fra mengder av rutere og NAS-enheter

Kommentarer (0)

Kommentarer (0)
Til toppen