Ponad 300 serwisów internetowych zostało zaatakowanych z użyciem dużej sieci botnet. Atak polegał na masowym i zwielokrotnionym łączeniu się do usługi SSL (bezpieczne połączenie) z setek tysięcy adresów IP. Wszystko wskazuje, że botnet odpowiedzialny za ataki to rodzina Pushdo. Ekipa Shadowserver zajmująca się tropieniem sieci botnet zidentyfikowała 315 stron, które zostały zaatakowane. Ewidentnie takie testy wskazują, że ktoś chce sprawdzić ile może zdziałać i jak bardzo negatywnie całym botnetem może wpłynąć na działanie globalnych usług dostępnych z sieci internet. Istnieje jeszcze szansa choć nikła, że zarządzający siecią botnet piszą pracę magisterską na temat wydajności protokołu SSL i zbierają w ten sposób materiał do badań :] Jednakowoż tak rozległej próby ataku na port SSL jeszcze nie było.
Poniżej lista atakowanych witryn:
141.146.8.193
142.205.233.80
170.148.0.77
198.64.146.50
204.99.16.145
212.118.48.21
212.158.173.149
216.139.227.91
216.49.88.20
216.9.245.101
217.12.97.63
217.65.2.187
63.245.209.120
64.191.3.70
64.233.183.63
64.38.232.180
66.179.111.12
75.126.159.19
80.69.146.12
82.198.171.192
84.19.191.55
86.59.21.36
87.106.254.245
abonent.udm.vt.ru
acc.dau.mil
accesstraining.dest.gov.au
acemanager.bnpparibas.com
adcenter.looksmart.com
addons.mozilla.org
admin.acrobat.com
admin.fedoraproject.org
affiliate-program.amazon.com
app01.usatogether.org
bank.eximb.com
bespin.mozilla.com
billing.kpi.ua
blog.startcom.org
blogs.apache.org
book.malaysiaairlines.com
bookstore.transportation.org
bsd.officedepot.com
bugs.webkit.org
cabig.nci.nih.gov
cc.readytalk.com
chrome.google.com
co.clickandpledge.com
connect.microsoft.com
cpdsearch.tda.gov.uk
data.nasdaq.com
depot.info.apple.com
destroytwitter.com
developer.mozilla.org
dod-emall.dla.mil
donate.doctorswithoutborders.org
donate.pih.org
donotcontact.utah.gov
dragon.pop.indiana.edu
e-gap.royalsociety.org
ebidmarketplace.com
eduforge.org
eopen.microsoft.com
erecruit.ilo.org
fjallfoss.fcc.gov
forge.betavine.net
forum.defcon.org
forums.garmin.com
forums.nordrus.info
forums.weather.com
garage.maemo.org
germany.embassy.gov.au
gn.eoil.ru
golearn.csd.disa.mil
hostmaster.net.ua
https.openbsd.org
imo.im
incometaxindiaefiling.gov.in
iz.mersyss.ru
javacc.dev.java.net
labs.ericsson.com
launchpad.net
lg3d-core.dev.java.net
light.webmoney.ru
liqpay.com
live.xbox.com
login.postini.com
mail.internet2.edu
mail.riseup.net
mappoint-css.live.com
mashedlife.com
mcp.microsoft.com
mfi-assets.ecb.int
microsoft.embeddedoem.com
money.yandex.ru
mozillalabs.com
mozy.com
mwe.dllr.state.md.us
my.ispsystem.com
my.pair.com
my.pbworks.com
my.t-mobile.com
my.usda.gov
mya.godaddy.com
myaccount.ddo.com
mygrantinfo.csac.ca.gov
myrewardzone.bestbuy.com
mytax.iras.gov.sg
nafpay.afsv.net
netbenefits.fidelity.com
nhworksjobmatch.nhes.nh.gov
ns.iana.org
oh.train.org
one.ubuntu.com
online.kitco.com
open.umich.edu
openid.net
oscar.symplicity.com
partner.microsoft.com
passport.webmoney.ru
pay.spacegate.bz
personal.vanguard.com
player.helixcommunity.org
portal.accaglobal.com
portal.bccampus.ca
portal.gs.com
privat24.privatbank.ua
products.appliedbiosystems.com
profile.ea.com
qolps.qub.ac.uk
reach-it.echa.europa.eu
recruit.ap.uci.edu
research.venterinstitute.org
review.ieice.org
rita.nrf.gov.sg
riweb.rotaryintl.org
rr-n1-tor.opensrs.net
rsr-olymp.ru
sa.www4.irs.gov
sailearningconnection.skillport.com
scaccess.communityos.org
schoolalerts.iowa.gov
seal.verisign.com
secure.grepular.com
secure.in.gov
secure.logmein.com
secure.ncjoblinkmis.com
secure.skype.com
secure.ssa.gov
serviceguide.megafonnw.ru
serviceguide.megafonvolga.ru
shop.aafes.com
shop.maxim-ic.com
signup.live.com
slx.sun.com
solvnet.synopsys.com
spaces.internet2.edu
ssl.bing.com
sso.state.mi.us
stat.komet.ru
stat.profintel.ru
store.gearboxsoftware.com
store.omnigroup.com
support.msn.com
testpilot.mozillalabs.com
thepiratebay.org
tickets.landmarktheatres.com
tips.fbi.gov
tms.symantec.com
toefl-registration.ets.org
torstat.xenobite.eu
trac.cakephp.org
twitter.com
ucclaim-wi.org
uce.ieee.org
ugsp.nih.gov
unp.un.org
us.etrade.com
vacancies.gns.cri.nz
webcenter.applyyourself.com
webgis.usc.edu
wfis.wellsfargo.com
wiki.ubuntu.com
wist.echo.nasa.gov
wm.exchanger.ru
www-1.redhatmagazine.com
www.23andme.com
www.24hraccess.com
www.accountonline.com
www.activeu.org
www.annualcreditreport.com
www.arizonavirtualonestop.com
www.artemisia-association.org
www.arvest.com
www.avuecentral.com
www.aw2.army.mil
www.badgeguys.com
www.bankofky.com
www.beartracks.ualberta.ca
www.bluetooth.org
www.bmoinvestorline.com
www.bpn.gov
www.bwin.com
www.capitaller.ru
www.caro.net
www.cci-icc.gc.ca
www.cdproject.net
www.chase.com
www.cia.gov
www.commonapp.org
www.copilot.com
www.cresis.ku.edu
www.cu.edu
www.directvote.net
www.donate.bt.com
www.donhr.navy.mil
www.dreamspark.com
www.dropbox.com
www.dtic.mil
www.e-typedesign.co.uk
www.employflorida.com
www.etde.org
www.fastlane.nsf.gov
www.fpds.gov
www.fsd.gov
www.geezeo.com
www.glgpartners.com
www.gtap.agecon.purdue.edu
www.guardiananytime.com
www.habitat.org
www.healthspace.nhs.uk
www.hedgefundresearch.com
www.hibernate.org
www.hnfs.net
www.hsdl.org
www.huntington.com
www.icsalabs.com
www.imcworldwide.org
www.indianacareerconnect.com
www.inhope.org
www.insight.com
www.intwayfunds.com
www.intwaypassport.com
www.ippc.int
www.it-isac.org
www.jieddo.dod.mil
www.kaiserpermanente.org
www.key.com
www.last.fm
www.mail.yale.edu
www.manpower.usmc.mil
www.medicalcountermeasures.gov
www.mesh.com
www.microplace.com
www.microsoft.com.nsatc.net
www.microsoftfinancing.com
www.mobi-money.ru
www.mochimedia.com
www.moneymail.ru
www.myfloridalicense.com
www.mylookout.com
www.mymeetings.com
www.myresearchproject.org.uk
www.ncoic.org
www.nebraska.gov
www.noridianmedicare.com
www.notams.jcs.mil
www.npdb-hipdb.hrsa.gov
www.nysdot.gov
www.openeco.org
www.optoutprescreen.com
www.or-medicaid.gov
www.paypal-marketing.co.uk
www.paypal-shopping.com
www.paypal.com
www.peoples.com
www.pmf.opm.gov
www.racf.bnl.gov
www.redhat.com
www.regnow.com
www.researchgate.net
www.revisor.mn.gov
www.rhce.ca
www.rkb.us
www.sans.org
www.sbrf.ru
www.securityguidance.com
www.sedex.org.uk
www.seringas.caissedesdepots.fr
www.shakeweight.com
www.shareholder.ru
www.sitelutions.com
www.snapnames.com
www.spdrs.com
www.studentloan.com
www.studyabroad.uiuc.edu
www.sugarsync.com
www.telebank.ru
www.theabfm.org
www.torproject.org
www.trustwave.com
www.uibenefits.dol.ks.gov
www.urs.apply2jobs.com
www.vancity.com
www.virtualizationhero.net
www.webmoney.kz
www.windowsupdate.com
www.x.com
www.yahoo.com
www.yammer.com
www134.americanexpress.com
www2.gotomeeting.com
z-payment.ru
zeustracker.abuse.ch
Źródło: http://cyberinsecure.com/cia-paypal-hundreds-of-other-websites-under-unexplained-ssl-assault
4 komentarze do
4 lutego, 2010 o godzinie 14:41
Wszystko pięknie ładnie, tylko przydałaby się informacja, co tym atakiem dokładnie zdziałano? Zbyt duże obciążenie na portach SSL, ze dla innych serwery odmawiały połączenia?
4 lutego, 2010 o godzinie 17:01
O skuteczność ataku należałoby zapytać poszkodowanych. Tutaj informacja o ataku pojawiła się od ludzi analizujących sieci botnet, a nie od zaatakowanych serwisów. Jak wiele usług przestało działać całkowicie – niestety nie wiadomo.
5 lutego, 2010 o godzinie 11:01
są także sugestie, że jest to próba „ukrycia” ruchu SSL pomiędzy zombie a C&C. To raczej nie był SSL DDoS, ponieważ był zbyt mały – pojedynczy zombie nie sieje tym ciągle, tylko w odstępach czasu (to nie jest typowe dla DDoSa). A ludzie monitorujący taki zarażony komp muszą dołożyć sporo wysiłku by odfiltrować ruch do C&C. Ot, utrudnienie.
Gdyby jeszcze negocjacja i wymiana kluczy dochodziły do skutku, to można by mówić o obciążeniu procesora atakowanego serwera, ale tu serwer (atakowany) zwraca error (odpowiedź na uszkodzone requesty SSL Hello). No, chyba że boty *specjalnie* „nie potrafią” poprawnie nawiązać połączenia SSL ;)
5 lutego, 2010 o godzinie 18:18
Pewnie się tak szybko nie dowiemy o co chodziło. Dziwnym jest, że są tam na przykład połączenia do strony Zeus Trackera czyli ewidentnie ktoś chciał narobić bigosu. A może jedno i drugie. Może to właśnie testy SSLowej nowej funkcjonalności i niedługo się przekonamy co i jak :]