Первые жертвы атак типа credentials stuffing на VPN провайдеров

Предисловие

Мы надеемся, что информация, представленная в этой статье, будет полезна провайдерам услуг VPN и онлайн-сервисов. Мы постарались предоставить как можно больше подробностей, чтобы дать вам лучшее представление об этой проблеме. Если вы стали жертвой подобных атак и вам нужна помощь – обращайтесь к нам без колебаний. Мы будем рады поделиться нашими знаниями.

Введение

В прошлом Le VPN уже неоднократно подвергалась DDoS-атакам, но пару недель назад мы заметили нечто новое и необычное для нас.

Некая бот-сеть, обычно нацеленная на нашу систему управления клиентами, сейчас направила свои атаки на наш API. Сразу же стало ясно, что это была атака с использованием украденных учетных данных (Credentials stuffing). Кто-то использовал списки ранее украденных учетных данных, чтобы попытаться проверить их на предмет соответствия нашей пользовательской базе.

Le VPN в основном невосприимчива к этому вектору атак, так как для каждого нового пользователя мы генерируем уникальное имя.

Исключением является часть наших пользователей, которые перешли на Le VPN от другого VPN-провайдера, не имеющего такой политики.

Это подчеркивает важность использования различных паролей как для индивидуального доступа к нескольким веб-сайтам и службам, так и для внедрения политик безопасности паролей в компаниях.

Отражение атаки

Запросы, сделанные данной бот-сетью, были легко идентифицируемы, поэтому мы отделили их от реальных запросов API. Вместо прохождения через алгоритмы API, вредоносные запросы получали стандартное сообщение об ошибке и сохранялись в логах для дальнейшего анализа.

Мы полностью удостоверились в том, что ни один из наших клиентов не пострадал, и что атака не представляет никакой опасности для нашей системы.

Учитывая это, мы решили позволить ей действовать в течение нескольких дней, чтобы собрать больше данных об атаке.

Атака продолжалась в том же темпе в течение нескольких дней, и теперь пришло время начать расследование.

Ниже мы представляем вам наши выводы.

Бот-сеть

Бот-сеть, использованная для этой атаки, была относительно небольшой – всего около 40 000 — 45 000 ботов. Количество одновременно активных ботов было еще меньше — в среднем менее 10 000.

По нашим данным, на протяжении всего времени атаки использовалась одна и та же бот-сеть.

Происхождение IP ботов было в основном китайским (75%), индонезийским (4%), тайским (4%) и бразильским (4%), с меньшими долями из других стран. Большинство китайских ботов имели IP, зарегистрированные в Chinanet и China Unicom.

Скорость атаки

В какой-то момент мы решили измерить скорость полномасштабной атаки бот-сети. Мы приостановили все связанные с этим правила ограничения скорости и фильтрации трафика и стали принимать все запросы бот-сети.

В этот период бот-сеть работала со скоростью около 3 запросов на бот в час. Это не сильно отличалось от обычной скорости при включенной защите.

Это привело нас к выводу, что скорость атаки была намеренно снижена, чтобы не срабатывали правила ограничения скорости, которые могли бы привести к постоянному бану IP-адресов бот-сети. Тем не менее, мы считаем, что эта скорость может меняться в зависимости от уровня защиты цели атаки.

На основании этой оценки можно предположить, что злоумышленник с аналогичным размером бот-сети может проводить около 500 000 проверок учетных данных в день.

Количество запросов на одну учетную запись

Еще одно наблюдение, которое мы нашли интересным, это количество запросов на одну учетную запись. Большинство пар имен пользователей/паролей были отправлены только один раз, при этом некоторая небольшая их часть была отправлена дважды. Это может указывать на то, что эти запросы управляются централизованно и, возможно, синхронизируются.

Источник утечки учетных данных

Еще один аспект расследования заключался в выявлении источника утечки этих учетных данных. Мы отобрали репрезентативный образец учетных данных, использованных в этой атаке, и тщательно их изучили. Почти все они присутствуют в «Коллекции» (https://en.wikipedia.org/wiki/Collection_No._1), что убедило нас в том, что именно она была основным источником этих данных.

Однако, по нашим приблизительным оценкам, в атаке используется около 10-15 миллионов учетных данных, а не вся «Коллекция».

По нашим оценкам, общее время, необходимое для завершения этой атаки с указанными скоростью и размером списка, составит около 20-30 дней.

Кто за этим стоит?

Мы решили пойти еще дальше и собрать больше данных об этом взломщике. Поэтому мы настроили свой API так, чтобы он случайным образом отвечал на вредоносные запросы, выдавая код статуса успеха. Благодаря такому подходу, был сформирован список поддельных учетных данных, которые злоумышленники могут пытаться распространять или использовать для аутентификации на наших AAA-серверах.

Цель состояла в том, чтобы увидеть, где именно всплывает этот список, и соединить точки. Как только это было сделано, мы начали мониторинг сети.

Неожиданные результаты

Результаты появились быстро и оказались неожиданными.

Мы нашли более 1000 учетных записей пользователей VPN, предположительно связанных с одним из крупных VPN-провайдеров. Некоторые из них были опубликованы в конце апреля, а другие – в начале мая 2020 года. Все эти слитые учетные данные были бесплатно распространены в онлайн-сообществе, связанном с Ираном.

Мы немедленно предоставили наши сведения этому VPN-провайдеру и попросили его техподдержку как можно скорее уведомить об этом инциденте команду кибербезопасности. Мы все еще ждем их ответа.

Связаны ли эти атаки?

Уведомив провайдера, мы перешли к анализу слитых данных.

Мы проверили слитые учетные данные и с удивлением обнаружили, что большинство из них присутствуют в вышеупомянутой «Коллекции», – в том же источнике утечки учетных данных, который использовался злоумышленником против нашего API.

Некоторые записи присутствовали и в других списках взломанных учетных записей, однако каждая из протестированных нами учетных записей находилась в том или ином списке взломанных данных.

Более того, один из списков учетных данных VPN, подвергшихся утечке, содержал даты и время окончания срока действия с точными минутами и секундами, что похоже на ответ API.

Мы пока не можем назвать общее количество взломанных учетных данных, поскольку новые списки продолжают появляться каждые несколько дней.

Как все закончилось (на данный момент)

В Le VPN мы серьезно относимся к безопасности и к каждой такой атаке, поэтому всегда готовимся к худшему.

Бот-сеть, которая атаковала нас, была относительно невелика, поэтому мы попытались смоделировать наши ответные действия для сценария с гораздо большей бот-сетью.

Они предполагали разрыв любого соединения с бот-сетью, как только мы ее идентифицируем. В этом сценарии злоумышленник не получает никакого ответа от нашего API, поэтому нагрузка на наши серверы API сведена к минимуму.

Вскоре после того, как мы начали тестировать это решение на практике, злоумышленник решил остановить дальнейшие атаки типа credentials stuffing и запустил финальную, короткую и неудачную атаку DDoS на наш фронтэнд. С тех пор атаки не возобновлялись.

Итоговые соображения

Остается еще много вопросов, на которые предстоит ответить.

Несмотря на то, что происхождение самой бот-сети, скорее всего, является китайским, группа или частное лицо, использующие ее, могут быть расположены где-то на Ближнем Востоке.

Мы не знаем точно, атакует ли один и тот же злоумышленник несколько VPN-сервисов, или это новая тенденция, применяемая разными группами.

Мы полагаем, что похищенные аккаунты могут распространяться в таких странах, как Иран, где высок уровень цензуры, а VPN-службы в основном недоступны из-за международных ограничений.

Самой легкой жертвой такого рода атак будут VPN-сервисы с самыми крупными пользовательскими базами, так как большое число активных клиентов повышает вероятность найти утечку учетных данных. Кроме того, за большим числом запросов API легче скрыть активность бот-сети.

Мы все еще ждем реакции VPN-провайдера, чьи аккаунты были взломаны. Если в ближайшее время ничего не будет сделано, мы постараемся самостоятельно уведомить об этом соответствующих пользователей.

Мы будем обновлять эту статью по мере поступления новых подробностей по этому вопросу.