Theo Cloudflare, các cuộc tấn công DDoS siêu khối lượng đã bắt đầu trở nên phổ biến hơn, một xu hướng được nhận thấy vào quý 3 năm 2024. Trong quý cuối cùng của năm, các cuộc tấn công bắt đầu vượt qua 1 Tbps, với mức tăng trưởng 1.885% so với quý trước. Các cuộc tấn công vượt quá 100 triệu gói mỗi giây cũng tăng 175%, trong khi có tới 16% trong số đó đạt hơn 1 tỷ gói mỗi giây. Tuy nhiên, các cuộc tấn công DDoS HTTP siêu khối lượng chỉ chiếm 3% tổng số, trong khi 63% còn lại là các cuộc tấn công nhỏ không vượt quá 50.000 yêu cầu mỗi giây.

Thống kê tương tự cũng được ghi nhận đối với các cuộc tấn công DDoS ở lớp mạng (Layer 3/Layer 4), với 93% không vượt quá 500 Mbps, trong khi 87% ở mức dưới 50.000 gói mỗi giây. Cloudflare cảnh báo rằng các cuộc tấn công DDoS đang trở nên ngắn hơn, đến mức mà việc phản ứng của con người trở nên bất khả thi, không thể phân tích lưu lượng và áp dụng biện pháp giảm nhẹ kịp thời. Khoảng 72% các cuộc tấn công HTTP và 91% các cuộc tấn công ở lớp mạng kết thúc trong vòng chưa đầy 10 phút. Ngược lại, chỉ 22% cuộc tấn công HTTP và 2% ở lớp mạng kéo dài hơn một giờ.

Công ty bảo mật internet này cho biết rằng những đợt tấn công ngắn gọn thường xảy ra trong các thời điểm sử dụng cao, như trong các kỳ nghỉ lễ và sự kiện giảm giá, nhằm gây ra tác động tối đa. Điều này tạo cơ hội cho các cuộc tấn công DDoS kiểu đòi tiền chuộc, cũng đã có mức tăng 78% theo quý và 25% theo năm, đạt đỉnh cao vào quý IV và mùa lễ Giáng Sinh. Cloudflare nhấn mạnh rằng “thời gian ngắn của các cuộc tấn công nhấn mạnh sự cần thiết phải có một dịch vụ bảo vệ DDoS tự động, luôn sẵn sàng”.

Theo dữ liệu từ Cloudflare, các mục tiêu bị tấn công nhiều nhất trong quý cuối năm 2024 tập trung tại Trung Quốc, Philippines và Đài Loan, sau đó là Hồng Kông và Đức. Thống kê cho thấy hầu hết các mục tiêu nằm trong các ngành viễn thông, dịch vụ và nhà cung cấp, lĩnh vực internet, cũng như tiếp thị và quảng cáo. Tình hình này không chỉ đe dọa an ninh tới các cá nhân và doanh nghiệp mà còn tác động đến cơ sở hạ tầng cơ bản của các quốc gia.

Aqua cũng nêu rõ rằng những điểm cuối “/debug/pprof” được sử dụng để xác định mức sử dụng bộ nhớ heap, CPU và các chỉ số khác có thể trở thành phương tiện cho các cuộc tấn công DoS, dẫn đến việc máy chủ không hoạt động. Ước tính có tới 296.000 phiên bản Prometheus Node Exporter và 40.300 máy chủ Prometheus đang có thể truy cập công khai qua Internet, khiến chúng trở thành bề mặt tấn công khổng lồ, đe dọa an toàn dữ liệu và dịch vụ. Việc lộ thông tin nhạy cảm như thông tin xác thực, mật khẩu, mã thông báo xác thực và khóa API thông qua các máy chủ Prometheus được công khai qua Internet đã được tài liệu hóa trước đó bởi JFrog vào năm 2021 và Sysdig vào năm 2022.

Nhóm nghiên cứu cảnh báo rằng việc máy chủ Prometheus không xác thực cho phép thực hiện truy vấn trực tiếp vào dữ liệu nội bộ, tiềm ẩn việc tiết lộ bí mật mà kẻ tấn công có thể khai thác để chiếm lĩnh các tổ chức khác nhau. Ngoài ra, một điểm cuối nữa là “/metrics” không chỉ có khả năng tiết lộ các điểm cuối API nội bộ mà còn cung cấp dữ liệu về các tên miền phụ, kho Docker và hình ảnh – tất cả đều là thông tin quý giá cho những kẻ tấn công đang tiến hành thu thập thông tin nhằm mở rộng ảnh hưởng trong mạng lưới.

Chưa dừng lại ở đó, kẻ thù có thể gửi nhiều yêu cầu đồng thời đến các điểm cuối như “/debug/pprof/heap” để kích hoạt các tác vụ phân tích bộ nhớ và CPU cường độ cao, có thể làm cho máy chủ bị quá tải và sập. Aqua cũng đã nêu bật một mối đe dọa chuỗi cung ứng liên quan đến việc sử dụng các kỹ thuật repojacking để lợi dụng tên gọi liên quan đến các kho chứa GitHub đã bị xóa hoặc đổi tên và giới thiệu các xuất khẩu bên thứ ba độc hại.

Cụ thể, nhóm này đã phát hiện ra rằng tám xuất khẩu được liệt kê trong tài liệu chính thức của Prometheus có lỗ hổng về RepoJacking, cho phép kẻ tấn công tái tạo một xuất khẩu với cùng tên và host một phiên bản độc hại. Những vấn đề này đã được đội ngũ an ninh của Prometheus giải quyết tính đến tháng 9 năm 2024.

Nhà nghiên cứu cho biết rằng, những người dùng không nghi ngờ có thể vô tình sao chép và triển khai xuất khẩu độc hại này theo tài liệu, dẫn đến việc thực hiện mã từ xa trên hệ thống của họ. Các tổ chức được khuyến nghị nên bảo mật các máy chủ và xuất khẩu Prometheus bằng những phương pháp xác thực thích hợp, hạn chế sự tiếp xúc công khai, theo dõi các điểm cuối “/debug/pprof” để phát hiện bất kỳ hoạt động bất thường nào và thực hiện các biện pháp để tránh các cuộc tấn công RepoJacking.

Một tweet từ HIBP cho biết 54% các tài khoản đã có sẵn trong cơ sở dữ liệu của họ từ những vi phạm trước đây. Hunt cũng cung cấp thêm thông tin chi tiết về quá trình liên hệ với Internet Archive về vi phạm vào ngày 6 tháng 10 và tiến hành quy trình công khai, cho đến khi trang web bị thay đổi và tấn công DDoS tại cùng thời điểm HIBP đang tải dữ liệu để thông báo cho người dùng bị ảnh hưởng.

Sau khi đóng thông báo, trang web hoạt động bình thường, mặc dù tốc độ có phần chậm. Không rõ điều gì đã xảy ra với trang web, nhưng những cuộc tấn công vào các dịch vụ như TweetDeck trước đây đã lợi dụng các lỗ hổng XSS hoặc tấn công chéo trang có kết quả tương tự.

Tính đến 5:30 chiều theo giờ ET, thông báo bật lên đã biến mất, tuy nhiên trang web cũng không còn tồn tại, chỉ để lại một thông điệp giữ chỗ nói rằng “Internet Archive dịch vụ tạm thời offline” và chỉ đạo khách truy cập truy cập tài khoản trên X để cập nhật.

Jason Scott, một nhà lưu trữ và người quản lý phần mềm của Internet Archive, xác nhận trang web đang bị tấn công DDoS, đăng trên Mastodon rằng “Theo Twitter của họ, họ làm thế chỉ vì có thể, không có tuyên bố, không có ý nghĩa nào, không có yêu cầu.” Brewster Kahley của Internet Archive cũng cho biết “Cuộc tấn công DDoS hôm qua vào @internetarchive đã lặp lại hôm nay. Chúng tôi đang nỗ lực đưa archive.org hoạt động trở lại.” Không ai trong số họ đề cập đến vụ vi phạm dữ liệu.

Một tài khoản trên X gọi là SN_Blackmeta tuyên bố đứng sau vụ tấn công này và ám chỉ một cuộc tấn công khác được lên kế hoạch cho ngày mai. Tài khoản này cũng đăng tải về việc đã DDoS Archive vào tháng Năm, và Scott trước đây đã nói về các cuộc tấn công có vẻ như nhắm vào việc phá hoại Internet Archive.