Τράπεζα Θεμάτων DDoS: Τεχνική ανάλυση και ανακοίνωση ΕΔΥΤΕ

Το SecNews κοινοποιεί το δελτίο τύπου του GRNET/ΕΔΥΤΕ αναφορικά με την επίθεση στην Τράπεζα Θεμάτων. Όπως εξαρχής είχε τονίσει η ερευνητική μας ομάδα, το GRNET όφειλε να δημοσιοποιήσει τα μέρος των δημοσία διαθέσιμων τεχνικών στοιχείων που έχουν στην διαθεσή τους (μιας και το σύνολο των τεχνικών δεδομένων θα διατεθούν στις αρχές για την έρευνα που πραγματοποιούν).

Επιπλέον είχαμε αναφέρει στο σχετικό μας άρθρο, αλλά και σε ότι παραθέσαμε στο Twitter ότι πέρα απο πολιτικαντισμούς και ερμηνείες από αδαείς δημοσιογράφους και πολιτικούς σε panels ενόψει εκλογών, θα ήταν ορθό να αναζητηθεί η άποψη των ειδικών, μιας και σε καμία περίπτωση δεν ηταν θέμα για πολιτική εκμετάλλευση. Το ζήτημα αφορούσε την διεξαγωγή των εξετάσεων, αλλά και υποδομή του Ελληνικού διαδικτύου που πραγματοποιεί hosting σε μεγάλο αριθμό πληροφοριακών συστημάτων και όχι μόνο στην Τράπεζα Θεμάτων.

Διαβάζοντας αναλυτικά την δημόσια δήλωση του ΕΔΥΤΕ, επιβεβαιώνουμε σε μεγάλο βαθμό όσα παραθέσαμε στο αρχικό μας άρθρο, με κάποιες όμως προσθήκες που μας ανησυχούν ιδιαίτερα.

Παραθέτουμε πλήρως την ανακοίνωση του ΕΔΥΤΕ

SecNewsTV

23.5K subscribers

Περισσότερα... Subscribe!

Τι αναφέρει η ΕΔΥΤΕ αναφορικά με την DDoS επίθεση στη Τράπεζα Θεμάτων;

H πλατφόρμα trapeza.iep.edu.gr του Ινστιτούτου Εκπαιδευτικής Πολιτικής (ΙΕΠ) φιλοξενείται σε υποδομές της ΕΔΥΤΕ και συνδέεται στο Internet μέσω του δικτύου ΕΔΥΤΕ. Μετά από αίτημα του ΙΕΠ έγιναν ενέργειες για την αντιμετώπιση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (Distributed Denial of Service – DDoS) τις πρωινές ώρες της 29ης και 30ης Μαΐου 2023.

Δείτε Ακόμα: Ανακοίνωση στρατηγικής συνεργασίας Trust-IT LTD και Cloudflare Inc.

Ιστορικό: Τη Δευτέρα 29/5 συστήματα με μεγάλη διασπορά σε χώρες όλου του κόσμου δημιουργούσαν με υπερβολικό ρυθμό συνδέσεις προς την πλατφόρμα (TCP SYN flood, περίπου 280.000 δικτυακά πακέτα ανά δευτερόλεπτο) καθώς και μεγάλη άεργη δικτυακή κίνηση (UDP flood) μέχρι 1.8 Gbps. Οι επιθέσεις αυτές αντιμετωπίστηκαν στις 09:20.

Την Τρίτη 30/5 έγινε επίθεση πολλαπλάσιας έντασης με μεγάλη διασπορά προς την υποδομή της πλατφόρμας (TCP SYN flood) με ρυθμό έως και 5 εκ. δικτυακά πακέτα ανά δευτερόλεπτο. Η επίθεση αντιμετωπίστηκε στις 07:32. Έπειτα, ο στόχος της επίθεσης μετατοπίστηκε σε υποδομές του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ) αλλά στις 08:09 αντιμετωπίστηκε και αυτή. Στη συνέχεια οι συνεργάτες της ΕΔΥΤΕ συνέδραμαν στην επίλυση υπόλοιπων θεμάτων που προέκυψαν λόγω της επίθεσης στην εφαρμογή.

Δείτε Ακόμα: Τράπεζα Θεμάτων: Γιατί δεν αναγράφεται στο Cloudflare Radar η μεγάλη DDoS επίθεση;

Ως προς την προστασία που παρέχει η ΑΚΑΜΑΙ: Η πλατφόρμα της AKAMAI είναι σχεδιασμένη για να προστατεύει μόνο την εφαρμογή, όχι τη βασική υποδομή όπως λανθασμένα αναφέρεται σε δημοσιεύματα. Μια επίθεση DDoS μπορεί να πραγματοποιηθεί με διαφορετικούς τρόπους μέσα από τα διάφορα επίπεδα της στοίβας πρωτοκόλλων του διαδικτύου. Η πρόσβαση στην εφαρμογή περνάει αρχικά από το Internet προς το δίκτυο ΕΔΥΤΕ, έπειτα προς την υποδομή και τέλος προς την εφαρμογή. Οι επιθέσεις τη Δευτέρα 29/5 ήταν κυρίως εναντίον της εφαρμογής και την Τρίτη 30/5 εναντίον της υποδομής. Όπως αναφέραμε, η πλατφόρμα της AKAMAI δεν προστατεύει στο επίπεδο της υποδομής αλλά στο επίπεδο της εφαρμογής. Για να προστατευθεί η υποδομή έγιναν σχετικές ενέργειες των μηχανικών της ΕΔΥΤΕ μετά από αίτημα των διαχειριστών της εφαρμογής.

Αντιμετώπιση δικτυακών επιθέσεων: Οι επιθέσεις σε επίπεδο δικτύου αυξάνονται παγκοσμίως το τελευταίο διάστημα. Ο δικτυακός προορισμός trapeza.iep.edu.gr που δέχθηκε τις επιθέσεις είναι ένας μόνο σε σύνολο εκατοντάδων χιλιάδων πιθανών στόχων που εξυπηρετούνται μέσω του δικτύου ΕΔΥΤΕ. Σε κάθε περίπτωση όμως, οι συγκεκριμένες επιθέσεις αντιμετωπίστηκαν επιτυχώς και, παρά τις πράγματι δυσάρεστες καθυστερήσεις που σημειώθηκαν, δεν κατάφεραν να εμποδιστεί η λειτουργία της εφαρμογής της Τράπεζας Θεμάτων.

Δείτε Ακόμα: Τράπεζα Θεμάτων DDoS επίθεση: Συμπέρασμα τεχνικής ανάλυσης

Τεκμηρίωση επίθεσης: Από τα παρακάτω δημοσίως διαθέσιμα γραφήματα (Εικόνες 3 και 4) φαίνεται η σταδιακή και ομαλή αύξηση της κίνησης στις 31/5 και 1/6 όπου δεν εντοπίστηκε επίθεση. Η ομαλή κίνηση αυξάνεται σταδιακά μέχρι ένα μέγιστο μέσα στην ημέρα και σταδικά υποχωρεί. Αντιθέτως, τις πρωινές ώρες της 29/5 εντοπίζεται η κακόβουλη κίνηση ως διακριτή κορυφή νωρίτερα της ομαλής κορύφωσης της κίνησης. Στις 30/5 η αύξηση λόγω της κακόβουλης κίνησης ξεπερνάει σαφώς τη συνολική κίνηση του δικτύου ΕΔΥΤΕ προς το Internet. Στις Εικόνες 1 και 2 φαίνεται εστιασμένη η επίθεση ως αυξημένος ρυθμός επεξεργασίας δικτυακών πακέτων εισερχόμενων από το Internet στους κόμβους «ΕΙΕ» και «ΚΩΛΕΤΤΗ» αντίστοιχα.

Σημειώνουμε ότι η διάγνωση των επιθέσεων γίνεται μέσω των εργαλείων παρακολούθησης των δικτύων και μέσω των αναφορών των εργαλείων προστασίας και όχι μόνο μέσω δημόσια διαθέσιμων δεδομένων. Τα στοιχεία που έχει το ΕΔΥΤΕ σαφώς και είναι διαθέσιμα στην ποινική έρευνα που διενεργείται για την υπόθεση.

Διευκρινίσεις σε σχέση με την νόμιμη δικτυακή κίνηση: Ο ρυθμός 280 χιλ. πακέτων ανά δευτερόλεπτο που αναφέρεται για την Δευτέρα 29/5 αντιστοιχεί σε περίπου 17 εκ. συνδέσεις ανά λεπτό ή 1 δις ανά ώρα. Την Τρίτη 30/5 οι αντίστοιχοι ρυθμοί επεξεργασίας δικτυακών πακέτων όπως φαίνεται ενδεικτικά από τα παραπάνω γραφήματα είναι 300 εκ. ανά λεπτό ή 18 δις ανά ώρα. Οι ρυθμοί αυτοί υπερβαίνουν κατά πολύ τις λογικές απαιτήσεις για τη νόμιμη κίνηση των εμπλεκόμενων εφαρμογών στις επιθέσεις αυτές. Σχόλια που προτείνουν υπερδιαστασιολόγηση συστημάτων ως τρόπο αντιμετώπισης επιθέσεων DDoS, ή συγκρίνουν μεταξύ τους εφαρμογές με διαφορετικές προδιαγραφές τα θεωρούμε απρόσεκτα και παραπλανητικά, ειδικά όταν προέρχονται από εκπροσώπους του τομέα της πληροφορικής και επικοινωνιών.

 Γενικό σχόλιο: Η άμεση ή έμμεση αμφισβήτηση της αξιοπιστίας όσων υπεύθυνα εργάζονται για την διάγνωση και αντιμετώπιση τέτοιων κακόβουλων επιθέσεων, αντί για την καταδίκη όσων τις σχεδιάζουν και τις εκτελούν, θεωρούμε ότι είναι αντιπαραγωγική και κινδυνεύουμε να τις ενθαρρύνουμε αντί να τις αποθαρρύνουμε με τον αποπροσανατολισμό της συζήτησης.

Τεχνική Ερμηνεία – Σχολιασμός – Ερωτηματικά

1. Σύμφωνα με την ανακοίνωση στην πρώτη φάση της επίθεσης δηλαδή στις 29/5 οι ΣΥΝΔΕΣΕΙΣ προς την πλατφόρμα ήταν 280.000 pps (δικτυακά πακέτα ανα δευτερόλεπτο). Σύμφωνα με διαγράμματα τόσο της AKAMAI οσο και της Cloudflare, παγκόσμια οι μεγαλύτερες κυβερνοεπιθέσεις που έχουν καταγραφεί είναι της τάξης των Mpps ή Tbps δηλαδή της τάξης των εκατομυρίων πακέτων το δευτερόλεπτο (πχ 3.47Tbps και όχι χιλιάδων πακέτων το δευτερόλεπτο όπως στην περίπτωση της Τράπεζας Θεμάτων. Παράδειγμα σε μια πολύ ισχυρή DDoS attack το 2020, ήταν 754 ΕΚΑΤΟΜΥΡΙΑ pps (δικτυακά πακέτα). Σε καμία περίπτωση δεν μπορούν να συγκριθούν με τα 280.000 pps που ανέφεραν τα μέσα ενημέρωσης για την παρούσα κυβερνοεπίθεση. Συνεπώς, συνεχίζει να ισχύει σύμφωνα με την ανακοίνωση το γεγονός ότι ΝΑΙ εγινε κυβερνοεπίθεση αλλά ΟΧΙ στο μέγεθος που παρουσιάστηκε.
2. Την δεύτερη ημέρα στις 30/5, σύμφωνα με την ανακοίνωση, υπήρξε αύξηση σε 5 εκατομύρια πακέτα ανα δευτερόλεπτο δηλαδή 5 Mpps. Το εν λόγω νούμερο είναι αυξημένο, πάλι όμως ΟΧΙ στα επίπεδα που μας παρουσίαζαν στις ανακοινώσεις και στα ΜΜΕ οι πολιτικοί που ανέλαβαν χρέη cyber security experts. Ενδεικτικά αναφέρουμε οτι το 2018, σε επίθεση στο Github είχαμε 1.3Tbps (Tera), το 2016 σε μαζική επίθεση στον DNS provider Dyn οι κακόβουλοι χρήστες είχαν φτάσει τα 1.5Tbps (Tera), to 2020 στην Amazon τα 2.3 Tbps, το 2017 στην Google 2.54Tbps και στο Azure το 2021 σε DDoS επίθεση εναντίον ενος και μόνο πελάτη (customer) της Microsoft στην Ασία η επίθεση ήταν 3.47Tbps με 350Mpps (δηλαδή 70 φορές πιο ισχυρή απο την παρούσα). Με μια απλή αναζήτηση ο καθένας μπορεί να διαπιστώσει ποιες θεωρούνται “ισχυρές κυβερνοεπίθεσεις DDoS attacks” σύμφωνα με τα διεθνή μέσα και οργανισμούς.
3. Αξίζει σε αυτό το σημείο να αναφέρουμε ότι ISP Providers, Gaming/Betting services, Τηλεπικοινωνιακοί πάροχοι,Τράπεζες αλλά και media / δέχονται συχνά πυκνά πολύ μεγαλύτερες επιθέσεις απο την αναφερόμενη ως “γιγάντια κυβερνοεπίθεση” που χτύπησε την Τράπεζα θεμάτων. Με την διαφορά ότι όλοι οι ανωτέρω στην πλειονότητά τους (σε αντίθεση με κυβερνητικά συστήματα) έχουν λάβει πρόσθετα μέτρα αποτροπής τέτοιου είδους επιθέσεων.
4. Αναφορικά με τα σχόλια για την AKAMAI ορθώς ισχύει ότι αναφέρεται στην ανακοίνωση. Παρολαυτα, η AKAMAI διαθέτει πλήθος προιόντων συμπεριλαμβανομένου και του DDOS Protection Prolexic (με χωρητικότητα άνω των 20TBps για DDOS επιθέσεις). Απο την ανακοίνωση είναι σαφές ότι το εν λογω προιόν δεν ηταν ενεργοποιημένο απο την Τράπεζα Θεμάτων, και πιθανόν υπήρχε ενεργοποιημένο μονο το Web Application Firewall(WAF) για προστασία και μονο της εφαρμογής. Αξίζει να αναφερθεί όμως ότι κατά την πρώτη ημέρα της επίθεσης ΔΕΝ υπήρχε ούτε το AKAMAI Web Application firewall (δηλαδή η προστασία της εφαρμογής) η οποία προστέθηκε την πρώτη ημέρα. Δεν είχε ληφθεί ΟΥΔΕΝ αντίμετρο εναντί κυβερνοεπιθέσεων απο τους διαχειριστές της εφαρμογής (δηλαδή το Ινστιτούτο Εκπαιδευτικής Πολιτικής) και οτιδήποτε έγινε με την ΑΚΑΜΑΙ, έγινε μετα την πρώτη ημέρα της επίθεσης.
5. Αναφέρει το ΕΔΥΤΕ στην ανακοίνωση ότι την Τρίτη 30/5 (μετά δηλαδή την προσθήκη του AKAMAI WAF) η επίθεση μετατοπίστηκε προς τις υποδομές του σχολικού δίκτυου (ΠΣΔ). Να θυμήσουμε σε αυτό το σημείο, ότι το Σχολικό Δίκτυο έχει πέσει και στο παρελθόν θύμα κυβερνοεπιθέσεων και μάλιστα απο Έλληνες hackers, παρ’ ολαυτά ουδείς φαίνεται να ασχολήθηκε και δεν ελήφθησαν μέτρα.
6. Στα διαγράμματα του ΕΔΥΤΕ και κυρίως σε αυτά που αναφέρονται στις εικόνες ανωτέρω (εικόνες 4+5) με επισημείωση από εμάς: Βλέπουμε σαφώς ότι:
   • Στην εικόνα 4, η κακόβουλη κίνηση, είναι κατα τι αυξημένης της καθημερινής ομαλής κίνησης που καταγράφει το GRNEt/ΕΔΥΤΕ. Συμπερασματικά – Δεν ήταν ο όγκος που δημιούργησε πρόβλημα στην Τράπεζα Θεμάτων ΑΛΛΑ η ίδια η εφαρμογή που δεν μπόρεσε να ανταποκριθεί σε έναν σχετικά αυξημένο όγκο requests.
   • Τα σημεία της επίθεσης αποτυπώνονται σε pps εντός του κόκκινου πλαισίου. Εντός του μωβ πλαισίου (που προσθέσαμε εμείς) στην εικόνα 5 είναι η ομαλή κανονική κίνηση. Το βέλος δείχνει την διαφορά μεταξύ των δύο ακραίων τιμών (DDoS επίθεσης και ομαλής κίνησης). Είναι σχεδόν το μισό συγκριτικά με το άνω όριο που εμφανίζεται την στιγμή της κυβερνοεπίθεσης. Συγκριτικά, λοιπόν, ήταν περίπου διπλάσια τα pps αναλογικά με τα καθημερινή ομαλή κίνηση. Και η εφαρμογή δεν μπόρεσε να ανταποκριθεί…
7. Στην ανακοίνωσή του το ΕΔΥΤΕ αναφέρει ότι διαθέτει πρόσθετα στοιχεία τα οποία ορθώς θα κοινοποιήσει στις αρχές που διεξάγουν την ποινική έρευνα για τον εντοπισμό των δραστών. Ο όγκος και η μεθοδολογία της κυβερνοεπίθεσης (μικρός αριθμός packets per seconds), η μη σωστή και ολοκληρωμένη μελέτη του στόχου, η άμεση αλλαγή της στόχευσης μετά την προσθήκη του ΑΚΑΜΑΙ WAF με νέα στόχευση στο σχολικό δίκτυο ΔΕΝ υποδηλώνει στοχοποίηση απο διεθνή hacking groups (KILLNET και λοιπές θεωρίες που αναφέρθηκαν). Υποδηλώνει άτομα με χαμηλή τεχνογνωσία, περιορισμένο budget για ενοικίαση ddos booter/stresser tools (μπορεί να γίνει με ελάχιστα χρήματα) που σκοπό είχαν να δημιουργήσουν ενα μίνι-πανικό. Το κατόρθωσαν ΟΧΙ λόγω της υψηλής τεχνογνωσίας, του υποτιθέμενου υψηλού budget (θεωρίες περι 200.000 ευρώ) αλλά λόγω της έλλειψης σχεδιασμού και αντιμέτρων στην δημιουργία, συντήρηση και διαχείριση της εφαρμογής trapeza.iep.edu.gr απο τον αρμόδιο φορέα του Ινστιτούτου Εκπαιδευτικής Πολιτικής. Εκτιμούμε ότι η έρευνα των αρχών θα αποδώσει σύντομα αποτελέσματα για τον προσδιορισμό των δραστών. Δεν θα πρέπει να μας εντυπωσιάσει μάλιστα αν είναι έφηβοι ή μαθητες, μιας και αντίστοιχα γεγονότα έχουν συμβεί και στην Ελλάδα παλαιότερα αλλά και στο εξωτερικό …

Αναφορικά με το γενικό συμπέρασμα περί αμφισβήτησης της αξιοπιστίας, αξίζει να αναφερθεί οτι σε αντίθεση με άλλα ΜΜΕ, το SecNews ΟΥΔΕΠΟΤΕ αμφισβήτησε την αξιοπιστία του ΕΔΥΤΕ και τον τεχνικών που εργάζονται εκεί, μιας και εμείς προσεγγίζουμε το ζήτημα απο την καθαρά τεχνική του σκοπιά. Αντιθέτως, προσπάθησε να αναδείξει οτι ουδεμία ευθύνη έφερε το GRNET αναφορικά με την αναχαίτηση της κυβερνοεπίθεσης αλλά μόνο οι διαχειριστές/ιδιοκτήτες της εφαρμογής.

Αυτό που αμφισβητήθηκε είναι τα μέτρα που είχαν ληφθεί απο τον ιδιοκτήτη της εφαρμογής (Ιινστιτούτο Εκπαιδευτικής Πολιτικής) καθώς και η αναφορά/δημιουργία φόβου απο ΜΜΕ και πολιτικούς περί εκτεταμένης κυβερνοεπίθεσης που όμοια δεν είχε εμφανιστεί στην Ελλάδα ποτέ …

Σημείωση της Τελευταίας Στιγμής:Σύμφωνα με πληροφορίες του SecNews φαίνεται οτι μετά την επίθεση στην Τράπεζα Θεμάτων το ΕΔΥΤΕ προχώρησε σε στοχευμένες και άμεσες τεχνικές ενέργειες ώστε να θέσει υπό πλήρη προστασία το Συστήμα Ασφαλούς Μετάδοσης Πανελληνίων (ΣΑΜ/STS) από DDoS επιθέσεις με χρήση κατάλληλης παραμετροποίησης (Anycast/GRE Tunnel). Μέχρι εκείνη την στιγμή το εν λόγω σύστημα του Υπουργείου Παιδείας δεν μπορούσε να ανταποκριθεί σε επιθέσεις DDoS μεσαίας ή μεγάλης κλίμακας. Άλλη μια επιβεβαιώση, ότι όταν ζητούν την γνώμη εξειδικευμένων τεχνοκρατών και τεχνικών που εισακούονται στα ανώτερα κλιμάκια Οργανισμών και Υπουργείων, μπορούν να προληφθούν χειρότερες καταστάσεις …

Πηγή ανακοίνωσης: grnet.gr