Νωρίτερα αυτή την εβδομάδα οι servers του δημοφιλούς παιχνιδιού League of Legends της EA.com, έπεσαν από μια τεχνική επίθεσης που δεν έχει χρησιμοποιηθεί στο παρελθόν.
Αντί να πλημμυρίσουν άμεσα τις στοχευμένες υπηρεσίες με χείμαρρους των δεδομένων (DDoS), μια ομάδα η οποία αυτοαποκαλείται DERP Trolling άρχισε να στέλνει αιτήματα δεδομένων πολύ μικρότερου μεγέθους στους διακομιστές συγχρονισμού ώρας που τρέχουν το πρωτόκολλο Network Time Protocol (NTP). Με την αποστολή αυτών των αιτήσεων φαινόταν ότι η κίνηση προερχόταν από τις ιστοσελίδες των παιχνιδιών και έτσι οι επιτιθέμενοι ήταν σε θέση να ενισχύσουν κατά πολύ την δύναμη της επίθεσης. Μια πλαστή αίτηση που περιέχει οκτώ bytes συνήθως οδηγεί σε μια αντίδραση 468 bytes από τον διακομιστή θύμα, 58 φορές μεγαλύτερο πακέτο ανά αίτηση δηλαδή.
“Πριν μέχρι τον Δεκέμβριο, οι επιθέσεις NTP ήταν σχεδόν ανήκουστες γιατί αν υπήρχε μια δεν ήταν άξια συζήτησης” αναφέρε ο Shawn Marck, διευθύνων σύμβουλος της εταιρείας Black Lotus (ασχολείται με τις επιθέσεις DoS), στο Ars Technica. “Είμαστε μάρτυρες μιας αλλαγής στη μεθοδολογία των επιθέσεων.”
Η τεχνική αυτή είναι από πολλές απόψεις παρόμοια με τις επιθέσεις DNS-amplification που διεξάγονται σε διακομιστές εδώ και χρόνια. Μια παλαιότερη τεχνική DoS στέλνει παραποιημένες αιτήσεις για να ανοίξει τα domain name των servers που ζητούν τη διεύθυνση IP για μια συγκεκριμένη τοποθεσία. Οι επιθέσεις DNS-αντανάκλασης βοηθούν στην επιδείνωση των ζημιών μιας επίθεσης DoS επειδή οι απαντήσεις που αποστέλλονται από την στοχευμένη περιοχή είναι περίπου 50 φορές μεγαλύτερες από το αίτημα που διαβιβάζεται από τον εισβολέα.
Το μέσο μέγεθος της κάθε επίθεσης NTP, την πρώτη βδομάδα του 2014 ήταν περίπου 7,3 gigabits το δευτερόλεπτο. Ένας αριθμός τρεις φορές μεγαλύτερος από το μέσο όρο επιθέσεων DoS που παρατηρήθηκε το Δεκέμβριο. Συσχετίζοντας τις δημοσιεύσεις με τους ισχυρισμούς της ομάδας DERP Trolling στο Twitter οι ερευνητές της Black Lotus ήταν σε θέση να εκτιμήσουν ότι οι hackers χρησιμοποίησαν για την επίθεση περίπου 28Gbps.
