OVHcloud, penyedia layanan cloud global dan salah satu yang terbesar di jenisnya di Eropa, mengatakan pihaknya telah mengatasi serangan penolakan layanan terdistribusi (DDoS) yang memecahkan rekor awal tahun ini yang mencapai kecepatan paket yang belum pernah terjadi sebelumnya sebesar 840 juta paket per detik (Mpps).
Perusahaan melaporkan bahwa mereka telah melihat tren umum peningkatan ukuran serangan mulai tahun 2023, di mana serangan yang melebihi 1 Tbps menjadi lebih sering terjadi dan meningkat menjadi kejadian mingguan dan hampir setiap hari pada tahun 2024.
Beberapa serangan mengakibatkan laju bit dan laju paket yang tinggi selama periode yang panjang dalam 18 bulan terakhir, dengan laju bit tertinggi yang dicatat oleh OVHcloud selama periode tersebut adalah 2,5 Tbps pada tanggal 25 Mei 2024.
Sumber: OVHcloud
Analisis terhadap beberapa serangan tersebut mengungkap penggunaan perangkat jaringan inti yang ekstensif, khususnya model Mikrotik, yang membuat serangan tersebut lebih berdampak dan lebih sulit dideteksi dan dihentikan.
DDoS pemecah rekor
Awal tahun ini, OVHcloud harus mengurangi serangan kecepatan paket besar-besaran yang mencapai 840 Mpps, melampaui pemegang rekor sebelumnya, Serangan DDoS 809 Mpps menargetkan bank Eropayang diatasi Akamai pada bulan Juni 2020.
“Infrastruktur kami harus memitigasi beberapa serangan 500+ Mpps pada awal tahun 2024, termasuk satu serangan yang mencapai puncaknya pada 620 Mpps,” menjelaskan OVHcloud.
“Pada bulan April 2024, kami bahkan mengurangi serangan DDoS yang memecahkan rekor yang mencapai ~840 Mpps, tepat di atas rekor sebelumnya yang dilaporkan oleh Akamai.”
Sumber: OVHcloud
Penyedia layanan cloud tersebut mencatat bahwa serangan TCP ACK berasal dari 5.000 IP sumber. Dua pertiga paket diarahkan melalui hanya empat Points of Presence (PoP), semuanya di Amerika Serikat dan tiga di Pantai Barat.
Kemampuan penyerang untuk memusatkan lalu lintas besar-besaran ini melalui spektrum infrastruktur internet yang relatif sempit membuat upaya DDoS ini lebih tangguh dan lebih menantang untuk dimitigasi.
Mikrotiks yang kuat disalahkan
OVHcloud mengatakan banyak serangan berkecepatan paket tinggi yang terekamnya, termasuk serangan yang memecahkan rekor pada bulan April, berasal dari perangkat MirkoTik Cloud Core Router (CCR) yang disusupi yang dirancang untuk jaringan berkinerja tinggi.
Perusahaan tersebut mengidentifikasi secara khusus model yang dikompromikan CCR1036-8G-2S+ dan CCR1072-1G-8S+, yang digunakan sebagai inti jaringan berukuran kecil hingga menengah.
Banyak perangkat ini mengekspos antarmuka mereka secara daring, menjalankan firmware yang sudah ketinggalan zaman dan membuatnya rentan terhadap serangan yang memanfaatkan eksploitasi untuk kerentanan yang diketahui.
Perusahaan cloud berhipotesis bahwa penyerang mungkin menggunakan fitur “Bandwidth Test” RouterOS MikroTik, yang dirancang untuk pengujian stres throughput jaringan, untuk menghasilkan kecepatan paket yang tinggi.
OVHcloud menemukan hampir 100.000 perangkat Mikrotik yang dapat dijangkau/dieksploitasi melalui internet, sehingga menjadi banyak target potensial bagi pelaku DDoS.
Sumber: OVHcloud
Karena daya pemrosesan perangkat MikroTik yang tinggi, yang memiliki CPU 36-inti, bahkan jika sebagian kecil dari 100 ribu itu disusupi, hal itu dapat mengakibatkan botnet yang mampu menghasilkan miliaran paket per detik.
OVHcloud menghitung bahwa pembajakan 1% model yang terekspos ke dalam botnet dapat memberi penyerang cukup daya tembak untuk melancarkan serangan, mencapai 2,28 miliar paket per detik (Gpps).
Perangkat MikroTik telah dimanfaatkan untuk membangun botnet yang kuat lagi di masa lalu, dengan kasus penting adalah Botnet wabah.
Meskipun vendor beberapa peringatan kepada pengguna untuk meng-upgrade RouterOS ke versi yang aman, banyak perangkat yang masih rentan terhadap serangan selama berbulan-bulan, dengan risiko terdaftar dalam serangan DDoS.
OVHcloud mengatakan pihaknya telah memberi tahu MikroTik tentang temuan terbarunya, tetapi mereka belum menerima tanggapan.
