November 30, 2021
De parte de Nodo50
324 puntos de vista

30 de noviembre.

Asamblea de Nodo50

Nodo50 es un proveedor de servicios de Internet sin 谩nimo de lucro y enfocado a los movimientos sociales. Los medios de comunicaci贸n que han sido v铆ctimas del ataque son:

  • La Marea, que es una publicaci贸n en papel y digital surgida del cierre de la edici贸n en papel del diario P煤blico en 2012. Es un medio independiente de poderes empresariales y pol铆ticos ya que su financiaci贸n proviene de sus lectores/as.
  • El Salto es un medio de comunicaci贸n creado en 2016, producto de la evoluci贸n del peri贸dico Diagonal y de la convergencia de varias decenas de medios de comunicaci贸n. Se rige por principios democr谩ticos, de propiedad colectiva, descentralizado y financiado por la gente, no por grandes corporaciones, para asegurar su independencia informativa.
  • Kaos en la Red fue creado en 2001 y se define como un medio de contrainformaci贸n plural, de alcance mundial y de enfoque anticapitalista.
  • AraInfo es un diario libre fundado en 2010. Se define como un proyecto cooperativista que trabaja por la soberan铆a de la comunicaci贸n desde principios solidarios, colaborativos, de honestidad y feministas.
  • Y tambi茅n el propio sitio web de Nodo50, donde, adem谩s de ofertar sus servicios como proveedor de internet, publica cada d铆a una peque帽a selecci贸n de noticias.

Los sitios web afectados durante el ataque fueron:

Los ataques duraron 116 horas, comenzando el 19 de noviembre a las 12:21 UTC y por un periodo de 4 d铆as y medio hasta el martes 23 de noviembre a las 22:13 UTC.

Desde el primer d铆a el atacante utiliz贸 dos tipos principales de ataques:

  • Ataques de capa de aplicaci贸n (L7) contra cada uno de los sitios utilizando m谩s de 27.000 direcciones IP. El atacante inund贸 los sitios con solicitudes falsas por turnos o inundando varios sitios simult谩neamente.
  • Ataques de inundaci贸n de tr谩fico UDP mediante tr谩fico reflejado, principalmente usando los servicios NTP y DNS.

Durante la fase inicial de los ataques, el atacante realiz贸 varias comprobaciones online para verificar la eficacia de sus estrategias. Utiliz贸 el servicio check-host.net, utilizado con frecuencia por “booters” o “IP stressers鈥 de pago (servicios para realizar ataques).

Al no tener 茅xito, el atacante a帽adi贸 m谩s potencia a sus ataques, a帽adiendo otras botnets compuestas por proxies abiertos, la red Tor y docenas de dispositivos del servicio VPN vpngate.com.

Una gran parte de las botnets proceden de India, Vietnam, T煤nez y Rusia. Muchos de los bots est谩n dentro de redes dom茅sticas, lo que sugiere que el atacante compr贸 acceso a una infraestructura de ataque que tiene el control de dispositivos de IoT (Internet de las cosas) o de dispositivos infectados por malware.

Casi 9.000 direcciones IP participantes en el ataque est谩n asociadas a los proveedores de India AS55836 Reliance Jio Infocomm Limited y a los de Vietnam AS131429 MOBIFONE-VN y AS7552 Viettel Corporation.

Autor铆a del ataque

Estos ataques rara vez son reivindicados, pero en este caso alguien que reclamaba la autor铆a se puso en contacto por Twitter con los medios atacados y con Nodo50. Desde la cuenta de Nodo50 se le pidi贸 una prueba de la autor铆a, cosa que hizo anunciando la interrupci贸n del ataque contra www.kaosenlared.net, lo que efectivamente sucedi贸.

La cuenta de usuario del atacante, @a66229952, fue eliminada el s谩bado 20, sin que haya vuelto a ponerse en contacto por otros medios. Ignoramos si la cuenta fue auto borrada o si Twitter la cancel贸 por reportes de otros usuarios/as.

Por la forma en que se desarroll贸 el ataque, por la forma en que reaccionaba a nuestras medidas de mitigaci贸n, y por la forma en que distribu铆a su potencia de ataque entre varios objetivos, nos parece que se trataba de una 煤nica persona, al menos en lo que se refiere a la parte t茅cnica de ejecutar el ataque (鈥渁l teclado鈥).

Adem谩s, por las horas de inicio y final de los ataques de flujos UDP (ver tabla mas abajo), podemos deducir que est谩 en la zona horaria del estado espa帽ol, o muy pr贸ximo, que est谩 libre a partir de las 12 del mediod铆a para dedicarse a los ataques, y que detiene los ataques UDP antes de irse a dormir, no muy tarde, entre las 00:00 y las 01:00 AM. Quiz谩s no tiene presupuesto para dejarlos toda la noche en autom谩tico, pues es muy probable que los ataques de inundaci贸n de tr谩fico UDP le salgan mas caros que los L7 al necesitar IP spoofing. Lleg贸 a usar 152 horas de ataques UDP contra diferentes objetivos (suman mas que el total de horas del ataque porque se solapaban al atacar a varios objetivos a la vez).

Sobre la motivaci贸n del atacante se ha especulado con su ideolog铆a ultraderechista. No hemos encontrado nada que pueda confirmarlo, mas all谩 de la fecha elegida para comenzar el ataque (fin de semana del 20-N) y que los medios atacados forman parte de lo que un ultraderechista puede considerar medios antagonistas. Al contrario que en 2013, cuando el atacante se defini贸 a s铆 mismo como falangista, el autor de este ataque no realiz贸 proclamas ideol贸gicas en el poco tiempo que estuvo activo en Twitter.

Vectores de ataque

L7 – Capa de aplicaci贸n (TCP)
Algunas de las inundaciones contra los sitios web se realizaron abusando del KeepAlive (sesiones HTTPS persistentes), cuando un bot lograba establecer la primera sesi贸n web cifrada (HTTPS) con el sitio, una r谩faga de miles de solicitudes de inundaci贸n se canalizaban en la misma conexi贸n activa.

Otro vector de ataque consisti贸 en realizar peticiones Proxy CONNECT al puerto 80/443 de los sitios web que utilizan Apache como servidor web, para luego inundar el sitio con solicitudes de Proxy al puerto HTTPS cifrado.

Durante gran parte del ataque, las inundaciones tuvieron una media de 10.000 solicitudes por segundo con picos que alcanzaron las 30.000.

L4 – Ataques volum茅tricos (UDP)
El atacante combin贸 los ataques de la capa de aplicaci贸n (L7) con los ataques de la capa 4 basados en UDP. Los ataques L4 se realizaron en su mayor铆a abusando de servidores p煤blicos NTP (puerto 123) y DNS (puerto 53). Tambi茅n estuvieron presentes otras t茅cnicas de amplificaci贸n de L4, como SynOptics SNMP (puerto 391) y el, recientemente descubierto, vector de amplificaci贸n DDoS Web Services Discovery (puerto 3702).

Los ataques volum茅tricos L4 ten铆an como objetivo generar una sobrecarga de la capacidad de los enlaces de tr谩nsito entrantes al centro de datos.

Durante el ataque se utiliz贸 el dominio fak.dk en la amplificaci贸n de tr谩fico DNS. Nuestras pruebas arrojaron una respuesta de 10 KB por cada consulta de DNS. El nombre de dominio fak.dk utilizado por la infraestructura de estr茅s corresponde a las p谩ginas del “Royal Danish Defense College”, pero eso no implica que dicha instituci贸n est茅 implicada en el ataque, solo que su dominio fue elegido para las consultas DNS a amplificar.

Relaci贸n de ataques de UDP (seg煤n los flujos que hemos registrado)

67 ataques
152 horas en total

Web atacada | fecha | hora de inicio UTC  | duraci贸n en horas
=========================================
www.kaosenlared.net | 2021-11-19 | 12:28:21 | 1.0
www.kaosenlared.net | 2021-11-19 | 15:19:20 | 1.0
www.kaosenlared.net | 2021-11-20 | 09:19:05 | 2.0
www.elsaltodiario.com | 2021-11-20 | 09:19:19 | 2.0
www.arainfo.org | 2021-11-20 | 09:33:23 | 1.0
info.nodo50.org | 2021-11-20 | 10:18:15 | 1.4
www.arainfo.org | 2021-11-20 | 11:30:25 | 0.9
www.elsaltodiario.com | 2021-11-20 | 11:56:33 | 1.0
www.kaosenlared.net | 2021-11-20 | 12:34:07 | 2.4
info.nodo50.org | 2021-11-20 | 12:47:47 | 5.6
www.arainfo.org | 2021-11-20 | 15:07:57 | 1.0
tienda.elsaltodiario.com | 2021-11-20 | 15:58:16 | 2.5
info.nodo50.org | 2021-11-20 | 17:54:02 | 1.0
info.nodo50.org | 2021-11-20 | 18:03:32 | 1.0
info.nodo50.org | 2021-11-20 | 18:48:30 | 1.0
info.nodo50.org | 2021-11-20 | 18:48:45 | 1.0
info.nodo50.org | 2021-11-20 | 18:51:37 | 1.0
info.nodo50.org | 2021-11-20 | 20:12:03 | 3.8
tienda.elsaltodiario.com | 2021-11-20 | 20:52:13 | 3.1
info.nodo50.org | 2021-11-20 | 21:04:37 | 1.0
info.nodo50.org | 2021-11-21 | 00:00:01 | 0.1
tienda.elsaltodiario.com | 2021-11-21 | 00:00:01 | 0.1
tienda.elsaltodiario.com | 2021-11-21 | 11:14:32 | 12.8
info.nodo50.org | 2021-11-21 | 11:16:40 | 12.7
www.lamarea.com | 2021-11-21 | 11:29:55 | 1.0
www.lamarea.com | 2021-11-21 | 11:30:07 | 2.4
kiosco.lamarea.com | 2021-11-21 | 12:24:30 | 1.0
kiosko.lamarea.com | 2021-11-21 | 13:04:31 | 2.2
www.lamarea.com | 2021-11-21 | 13:12:28 | 1.0
kiosco.lamarea.com | 2021-11-21 | 14:36:08 | 1.0
www.lamarea.com | 2021-11-21 | 15:55:53 | 1.0
kiosco.lamarea.com | 2021-11-21 | 17:01:57 | 4.9
www.lamarea.com | 2021-11-21 | 18:01:04 | 0.9
www.lamarea.com | 2021-11-21 | 19:05:19 | 0.8
www.elsaltodiario.com | 2021-11-21 | 22:12:35 | 1.0
kiosco.lamarea.com | 2021-11-21 | 23:02:41 | 1.0
www.lamarea.com | 2021-11-21 | 23:02:54 | 1.0
kiosco.lamarea.com | 2021-11-22 | 00:00:02 | 1.1
info.nodo50.org | 2021-11-22 | 00:00:03 | 1.1
tienda.elsaltodiario.com | 2021-11-22 | 00:00:03 | 1.1
www.elsaltodiario.com | 2021-11-22 | 00:02:37 | 1.0
www.elsaltodiario.com | 2021-11-22 | 00:02:54 | 1.0
www.elsaltodiario.com | 2021-11-22 | 12:45:09 | 1.0
www.elsaltodiario.com | 2021-11-22 | 12:46:17 | 1.0
www.lamarea.com | 2021-11-22 | 12:47:04 | 1.0
www.lamarea.com | 2021-11-22 | 12:47:32 | 1.0
www.lamarea.com | 2021-11-22 | 12:48:01 | 1.0
kiosco.lamarea.com | 2021-11-22 | 12:48:29 | 1.0
tienda.elsaltodiario.com | 2021-11-22 | 12:49:10 | 3.0
kiosko.lamarea.com | 2021-11-22 | 12:55:24 | 2.9
kiosko.lamarea.com | 2021-11-22 | 12:55:36 | 0.1
www.elsaltodiario.com | 2021-11-22 | 14:36:40 | 5.2
www.lamarea.com | 2021-11-22 | 14:48:18 | 5.0
www.lamarea.com | 2021-11-22 | 14:48:27 | 1.0
www.elsaltodiario.com | 2021-11-22 | 14:48:37 | 5.0
www.elsaltodiario.com | 2021-11-22 | 14:48:44 | 1.0
kiosco.lamarea.com | 2021-11-22 | 14:49:08 | 2.0
info.nodo50.org | 2021-11-22 | 14:49:28 | 5.1
www.elsaltodiario.com | 2021-11-22 | 16:50:09 | 6.0
kiosco.lamarea.com | 2021-11-22 | 17:50:44 | 5.0
tienda.elsaltodiario.com | 2021-11-22 | 18:48:26 | 4.0
kiosko.lamarea.com | 2021-11-22 | 18:49:03 | 4.0
www.lamarea.com | 2021-11-22 | 18:49:32 | 4.0
www.elsaltodiario.com | 2021-11-22 | 20:50:04 | 2.0
www.lamarea.com | 2021-11-22 | 20:50:46 | 2.0
www.elsaltodiario.com | 2021-11-22 | 20:51:08 | 2.0
tienda.elsaltodiario.com | 2021-11-22 | 20:51:09 | 2.0

L3 – Ataques (SYN-ACK)
A lo largo del lunes 22 de noviembre de 2021 los ataques alcanzaron su punto m谩ximo a 煤ltima hora de la noche, alcanzando varios millones de conexiones por segundo en los servidores. Durante ese tiempo detectamos otro vector de ataque capa 3 (L3) conocido como amplificaci贸n SYN-ACK: el atacante env铆a paquetes SYN falsificados a servidores de terceros que devuelven tr谩fico SYN-ACK leg铆timo a nuestros servidores.

Los atacantes utilizan con frecuencia esta t茅cnica para eludir las t茅cnicas de mitigaci贸n especializadas que necesitan mantener el estado del 3WHS (TCP three-way handshake, o protocolo de establecimiento de la comunicaci贸n TCP) para verificar las conexiones leg铆timas. El ataque, cuando se dise帽a correctamente, puede proporcionar hasta un 770% de amplificaci贸n del tr谩fico cuando se inundan los reflectores con paquetes SYN de 40 bytes. Un buen art铆culo presentado en WOOT14 se puede encontrar aqu铆: https://www.usenix.org/system/files/conference/woot14/woot14-kuhrer.pdf

Origen de los ataques

Botnets m贸viles
Mas del 20% de las IP atacantes en el ataque L7 pertenecen al mayor proveedor 4G de India, Jio, lo que parece indicar que se trata de una botnet formada por tel茅fonos y dispositivos m贸viles que han sido comprometidos por la instalaci贸n de aplicaciones maliciosas. Este tipo de botnet es una novedad respecto a los anteriores ataques de 2013 y 2015.

Como ejemplo del tipo de aplicaciones maliciosas que se usan para construir estas botnets de m贸viles tenemos:

Stressers o booters
De nuevo los stressers son una herramienta primordial en este tipo de ataques. Son servicios que ofrecen la realizaci贸n pruebas de estr茅s a redes y servidores, ofreciendo al cliente un panel de control en el que elegir distintas 鈥減ruebas鈥 y a que objetivo dirigirlas. La realidad es que se usan para realizar ataques DDoS a cambios de dinero, por un precio que es muy bajo en las versiones menos potentes de esos ataques.

Stressers VIP
Los stressers hacen uso de redes de bots para realizar sus ataques. Pero una botnet que participa en muchos ataques es identificada, bloqueada y pierde efectividad (se quema r谩pidamente). Es por eso que los stressers reservan fragmentos de sus botnets, o botnets independientes, menos utilizadas para clientes especiales, que pagan mas o que son revendedores de sus servicios de ataque. Esos clientes tendr谩n acceso a un panel de control mas avanzado y se les garantizar谩 mas posibilidades de 茅xito en sus ataques. En el otro lado, para las pruebas gratuitas que ofrecen en sus webs, se usar谩n las IP mas quemadas.

Fin de la primera parte del informe sobre el ataque DDoS de noviembre de 2021.




Fuente: Info.nodo50.org