La scorsa settimana GitHub ha sperimentato un autentico “torrente” di traffico telematico indesiderato , un attacco di tipo distributed denial of service ( DDoS ) dagli obiettivi inizialmente misteriosi e in grado di sfruttare una caratteristica della tecnologia Memcached particolarmente adatta alla generazione di traffico-spazzatura.
L’attacco DDoS contro GitHub è durato poco, appena qualche minuto, ma è riuscito – nelle fasi di picco – a inondare i server della piattaforma di hosting con un’enorme quantità di dati: le stime parlavano inizialmente di un traffico di 1,35 Terabyte, poi i numeri sono saliti fino a 1,7 Tbps. A titolo di confronto, l’attacco DDoS più esteso registrato in precedenza arrivava appena a 1,1 Tbps.
I cyber-criminali non hanno violato i dati degli utenti, ha in seguito rassicurato GitHub, mentre la tecnica utilizzata per generare il torrente DDoS consiste in un attacco di tipo “memcached reflection”: l’attaccante camuffa l’indirizzo IP di partenza inviando una breve richiesta a svariati server memcached, e a loro volta i server inviano risposte “legittime” alla richiesta originaria indirizzandola verso il network preso di mira.
In pratica, con una simile tecnica è possibile moltiplicare fino a oltre 51.000 volte il volume di dati inviati in origine, e il risultato finale è appunto il più esteso attacco DDoS mai registrato fino a oggi. Dall’interno del traffico spedito dai cyber-criminali è poi emersa una richiesta di pagamento a mò di riscatto, 50 XMR (Monero) pari a circa $15.000.
Caso GitHub a parte, ora che la tecnica di memcached reflection è stata sfruttata a fini malevoli i ricercatori lanciano l’allarme per il futuro: il numero di DDoS da record non potrà che aumentare. Ma durerà poco: questo genere di attacco è relativamente facile da mitigare e i network di CDN sono già pronti al peggio.
Alfonso Maruccia