Opfølgning på DDoS-angreb mod danske hjemmesider
Flere danske organisationer oplevede i december DDoS-angreb mod deres hjemmesider. Angrebene var rettet mod webapplikationen, hvilket begrænser effekten af visse modforanstaltninger.
Center for Cybersikkerhed (CFCS) har i løbet af december 2024 igen observeret forsøg på overbelastningsangreb (DDoS-angreb) mod danske hjemmesider. Angrebene har haft en begrænset, men forstyrrende effekt, og nogle af angrebene fik opmærksomhed i flere danske medier.
En cyberaktivistisk gruppe har gennem mere end to år angrebet hjemmesider i flere lande, hvor de bl.a. går efter lokale og regionale myndigheder. I Danmark har vi også set forsøg på at ramme kommuners hjemmesider.
Aktøren benytter sig blandt andet af et løst netværk af sympatisører, som downloader en software, der bruges til at udføre angrebet. Sikkerhedseksperter har vurderet, at gruppen typisk har nogle tusinde sympatisører, der deltager i angrebene.
Softwaren, som sympatisørerne henter, indeholder dels en liste over mål og dels de specifikke metoder til at angribe. Angrebene rettes typisk mod applikationslaget på webserveren (Layer 7). Det vil sige, at man forsøger at overbelaste det program på webserveren, som genererer hjemmesiderne.
Aktøren har især brugt en fremgangsmåde, hvor søgefunktionen på en hjemmeside bliver bombarderet med forespørgsler. Det sker ved, at der bliver sendt søgninger med tilfældige tekster (tekststrenge). Da teksterne er tilfældige, kan foranstaltninger som caching af søgeresultater ikke hjælpe i sig selv. En søgning med en tekst, der ikke er søgt efter før, vil nemlig normalt føre til, at webapplikationen skal gennemsøge databasen for at finde indhold, som passer. Det er en proces, der kræver forholdsvis mange ressourcer både i form af hukommelse og processorkraft på serveren. Derfor kan denne type angreb overvælde webserveren ved at udtømme ressourcerne hurtigere, end de kan blive frigivet.
Angreb mod applikationslaget kan begrænses ved at opsætte regler på en web application firewall (WAF). Man skal være opmærksom på, at ikke alle udbydere af systemer til DDoS-beskyttelse tilbyder en WAF som del af standardbeskyttelsen. Med en WAF kan man eksempelvis opsætte regler for rate limiting, som begrænser antallet af søgninger, der sendes videre til webserveren. På den måde kan søgefunktionen på hjemmesiden være midlertidigt utilgængelig for brugerne, men angrebet vil ikke overvælde webserveren, så den øvrige funktionalitet bevares.
Metoder såsom blokering af IP-adresser eller filtrering på netværkslaget (Layer 4) har begrænset effekt på den beskrevne fremgangsmåde for DDoS-angreb. Man skal dog være opmærksom på, at det tidligere er set, at forskellige aktører har kombineret angreb mod netværket og webapplikationen.
CFCS følger truslen fra cyberaktivisme tæt og varsler danske myndigheder og virksomheder, hvis vi får kendskab til, at de figurerer på cyberaktivistiske gruppers mållister. CFCS opfordrer til, at myndigheder og virksomheder orienterer sig om truslen og træffer forholdsregler baseret på en konkret risikovurdering.
CFCS har beskrevet truslen fra cyberaktivisme i Cybertruslen mod Danmark. De generelle tiltag til at håndtere et DDoS-angreb gennemgås i vejledningen Beskyt mod DDoS-angreb og temaartiklen DDoS-angreb mod hjemmesider.