Depuis septembre 2024, la Suisse subit une hausse des attaques DDoS via le service Gorilla, ciblant les infrastructures critiques avec plus de 300 000 attaques enregistrées.
Depuis septembre 2024, la Suisse fait face à une recrudescence d’attaques par déni de service distribué (DDoS), ciblant principalement les infrastructures critiques.
Ces attaques proviennent d’un service nommé Gorilla, qui propose des DDoS à la demande via Telegram. Pour quelques dollars, des acteurs malveillants peuvent lancer des attaques à grande échelle grâce au botnet GorillaBot, constitué de dispositifs Linux et Unix compromis.
Caractéristiques du service Gorilla
Gorilla propose plusieurs services, dont des attaques DDoS, via un modèle économique abordable et accessible. Le service a connu une forte augmentation de son activité, avec plus de 300 000 attaques enregistrées en septembre 2024. Les attaques observées en Suisse utilisaient principalement des techniques de réflexion UDP, souvent à travers des résolveurs DNS ouverts, ce qui augmente leur puissance.
GorillaBot représente une menace sérieuse pour la Suisse et au-delà. Avec la montée en puissance des services DDoS-as-a-Service, des infrastructures critiques restent vulnérables à des attaques de plus en plus sophistiquées. Le NCSC annonce continuer de surveiller et de collaborer avec ses partenaires pour atténuer ces risques.
Les méthodes d’attaque utilisée par ce botnet
Le Centre national pour la cybersécurité (NCSC) a cartographié l’infrastructure d’attaque de GorillaBot. Ces informations critiques ont été partagées avec des partenaires nationaux et internationaux pour contrer la menace.
Le NCSC a également demandé la fermeture du canal Telegram utilisé pour vendre les services de Gorilla, bien que de nouveaux canaux aient été ouverts peu de temps après.
Le malware GorillaBot peut lancer jusqu’à 18 types d’attaques DDoS, y compris des attaques UDP, TCP SYN et GRE IP. Les attaquants se concentrent sur le port 80 UDP, une méthode rare qui complique la défense. Malgré l’ampleur des attaques, aucune donnée sensible n’a été compromise, et les impacts ont principalement affecté la disponibilité des services ciblés.
Pour en savoir plus
Analyse technique du réseau de zombies «Gorilla»
10.10.2024 – En septembre 2024, l’OFCS a enregistré une augmentation des attaques DDoS menées par un réseau de zombies appelé «Gorilla». Il s’agit…