GitHub colpito dall'attacco DDoS più grande di sempre

Avatar di Manolo De Agostini

a cura di Manolo De Agostini

GitHub, il famoso servizio di hosting per progetti software, è stato colpito il 28 febbraio da un attacco durato oltre 8 minuti di proporzioni colossali, un DDoS (distributed denial of service) che potrebbe essere il più grande di sempre, almeno tra quelli di cui si ha certezza.

La prima parte dell'attacco ha raggiunto un picco di 1,35 Tbps di traffico tramite 126,9 milioni di pacchetti al secondo, ma ce n'è stata anche una seconda da 400 Gbps. Finora l'attacco più pesante aveva raggiunto circa 1,1 Tbps e aveva colpito OVH (azienda di web hosting francese) e DynDNS.

Entrambi gli attacchi furono portati a termine sfruttando tra le altre cose Mirai, popolare malware per l'infezione di dispositivi IoT. Nel caso di GitHub gli attacchi DDoS sono stati possibili a causa di una falla di sicurezza critica nei server memcached che è stata identificata da Akamai, Arbor Networks e Cloudflare.

Secondo i ricercatori l'implementazione del protocollo UDP dei server memcached è fallata ed è possibile lanciare un grande attacco DDoS senza troppi problemi. Per farlo devono impiantare un payload su un server memcached esposto. Poi fanno lo spoof del messaggio richiesto "get" con l'IP di origine di un obiettivo, e così una breve richiesta al server esposto può portare a dirottare un sacco di traffico verso l'obiettivo.

github attack
Il picco, ecco il primo attacco, seguito da un secondo

GitHub ha rassicurato i propri utenti dicendo che i dati non sono a rischio. "L'attacco si è originato da oltre un migliaio di differenti sistemi autonomi lungo decine di migliaia di endpoint unici. Si è tratta di un attacco con amplificazione usando un approccio memcached". Si parla di un fattore di amplificazione fino a 51.000, il che significa che per ogni byte inviato dall'attaccante, fino a 51KB vengono inviati all'obiettivo.

A causa della scala dell'attacco GitHub si è trovata costretta a spostare traffico verso Akamai e ora sta lavorando per implementare soluzioni che mitighino automaticamente l'impatto dei DDoS. Akamai ritiene che, data la possibilità di creare attacchi così massicci, gli attaccanti adotteranno questo sistema in modo maggiore.