Google cung cấp chi tiết phân tích lưu lượng tấn công GitHub

Cuộc tấn công DDoS lớn vào GitHub xảy ra tháng trước là kết quả của quá trình tấn công có tổ chức của tin tặc. Các nhà nghiên cứu tại Google đã phân tích lưu lượng tấn công trong vài tuần và nhận ra rằng tin tặc sử dụng cả Javascript replacement và HTML injection.

Giai đoạn đầu của cuộc tấn công bắt đầu từ đầu tháng 3. Tin tặc dường như thử nghiệm kỹ thuật tấn công sẽ sử dụng. Chỉ có một đối tượng tại thời điểm này: “Đối tượng thử nghiệm đầu tiên là 114.113.156.119:56789 và số lượng request có giới hạn. Từ ngày 4 tháng 3 đến ngày 6 tháng 3, giới hạn các request được gỡ bỏ” – Niels Provos từ đội ngũ bảo mật Google cho biết.

Giai đoạn tiếp theo được thực hiện từ ngày 3 đến 13 tháng 3 nhắm đến địa chỉ 203.90.242.126. vào 13 tháng 3, cuộc tấn công mở rộng bao gồm  d1gztyvw1gvkdq.cloudfront.net. Đầu tiên, request được tạo qua HTTP và sau đó nâng cấp lên HTTPS. Vào 14 tháng 3, cuộc tấn công thực sự bắt đầu và nhắm đến d3rkfw22xppori.cloudfront.net thông qua cả HTTP và HTTPS. Cuộc tấn công này diễn ra đến 17 tháng 3.

Ngày tiếp theo tin tặc, được cho liên quan trực tiếp đến chính phủ Trung Quốc thêm một vài host vào danh sách tấn công, những host này thuộc dịch vụ Amazon CloudFront. Tin tặc thay đổi chiến thuật liên tục trong các giai đoạn tấn công từ Javascript replacement phá vỡ các hàm trong trang và HTML Injection. Đến 26 tháng 3, tin tặc mới thực sự tấn công đến hai tài nguyên khác nhau trên GitHub, một bị cách ly bởi GreatFire.org, cơ quan quản lý Internet của Trung Quốc và một là tài nguyên có nội dung tiếng Trung Quốc từ tờ New York Times.

Chống lại các cuộc tấn công như vậy không hề dễ dàng với quản trị viên trang web. Trong trường hợp này, cuộc tấn công Javascript yêu cầu tài nguyên trang web một cách thường xuyên và làm chậm thời gian phản hồi giúp làm giảm lưu lượng toàn bộ cuộc tấn công.

threatpost