No cenário digital contemporâneo, o termo “carpet bombing” não remete apenas a devastadores bombardeios do passado, mas também a uma ameaça emergente. Essa ameaça são os ataques DDoS carpet bombing. Diferenciando-se dos ataques convencionais, esse método visa não apenas um, mas vários endereços IP simultaneamente, desafiando as defesas cibernéticas tradicionais.
Este artigo explora o ressurgimento desses ataques, destacando sua natureza exponencial e os desafios que impõem às estruturas de segurança. O artigo mergulha nas complexidades desse tipo de ataque, desde a detecção até a mitigação, apontando lacunas nas defesas tradicionais que tornam o carpet bombing uma arma eficaz para os cibercriminosos.
Entendendo os ataques DDoS Carpet Bombing
Quando a segunda guerra mundial terminou, em 2 de Setembro de 1945, a cidade de Dresden, na Alemanha, estava destruída. Foi considerada a cidade que mais sofreu bombardeios – como se tivesse sido coberta com com um tapete de explosivos, tal a quantidade de bombas lançadas sobre ela. Veio dessa época a expressão “carpet bombing”, hoje usada num contexto muito diferente mas igualmente ameaçador: é o nome de um tipo de ataque de negação de serviço que atinge não um ou dois endereços IP, mas uma quantidade variável deles (e às vezes grande), em ordem e ranges aleatórios.
Um ataque DDoS típico utiliza, em geral, milhares de dispositivos furtivamente contaminados, para sobrecarregar os recursos de um endereço IP por meio de um excesso de solicitações – o suficiente para que o sistema (se estiver desprotegido) acabe travando e ficando indisponível. Já o carpet bombing DDoS faz milhares de solicitações a vários endereços ou sub-redes. Essa abordagem atinge centenas ou até milhares de endpoints com tráfego malicioso. Como um número maior de endpoints é atacado, o dano causado pode ser exponencialmente maior do que num ataque DDoS normal.
Embora esse tipo de ataque não seja novo, ele vem sendo cada vez mais utilizado pelos malfeitores porque supera as defesas tradicionais e causa o prejuízo esperado – ou ainda maior. Até mesmo os provedores de serviços de telecomunicações podem ter dificuldades em defender seus clientes de ataques desse tipo: eles são capazes de sobrecarregar os scrubbing centers – as plataformas que processam e filtram tráfego malicioso. Incapazes de detectar com precisão os alvos do ataque, os sistemas de alerta comuns não conseguem responder de forma eficaz.
Poucos fornecedores solucionam esse problema
Por que é difícil para as empresas detectarem e mitigarem esse tipo de ataque? Primeiro, na detecção: dispositivos herdados de reconhecimento de fluxo, como firewalls, balanceadores de carga, IPS, IDS, etc, muitas vezes não conseguem detectar esses ataques furtivos à camada de rede, que podem se tornar gargalos. Para piorar, os pacotes do ataque são, frequentemente, fragmentados. Além disso, os endereços IP selecionados como alvo mudam frequentemente durante o ataque. E mais: pode ser usada pelo atacante uma combinação de técnicas de reflexão e inundação. Como se não bastasse, os vetores costumam ser automatizados, mudando rapidamente em tempo real. E finalmente, na mitigação, o bloqueio de tráfego com “black hole”, por exemplo, não é mais eficaz nem viável, porque essa solução terá o mesmo efeito planejado pelo atacante – o endereço IP ficará incomunicável, deixando de receber qualquer tráfego, inclusive aquele legítimo.
Proteger um cliente de um ataque DDoS do tipo carpet bombing não exige somente estrutura: exige um conjunto de metodologias e ferramentas que não estão disponíveis publicamente, e que são geralmente desenvolvidos “in house” pelas empresas que oferecem serviços de rede e de telecomunicações. Um dos segredos para essa defesa está justamente em definir o que é um ataque para determinado conjunto de hosts. A partir da definição desse parâmetro, várias ações podem ser iniciadas para proteger o cliente.
A Huge Networks tem a tecnologia contra os ataques carpet bombing
Esse tipo de ataque não é novo e já começou a ocorrer com certa frequência no Brasil: durante os últimos 12 meses, a Huge Networks protegeu de ataques DDoS carpet bombing uma grande quantidade de clientes – data centers, provedores de acesso, sistemas autônomos e redes em geral. Aqui e no resto do mundo, a frequência deles vem crescendo ano após ano: num estudo chamado “Relatório de ameaças e tendências cibernéticas: defendendo-se contra uma nova economia do crime cibernético”, a empresa americana Neustar Security Services (atual Vercara) observou que esses ataques registrados em seu SOC representaram cerca de 60% de todos os que foram registrados no segundo semestre de 2021.
Assim, os ataques massivos de carpet bombing DDoS podem parecer apenas mais uma das novas armas dos criminosos cibernéticos, mas desta vez são uma arma poderosa, que precisa de ser levada muito a sério, pois pode neutralizar eficazmente muitas defesas DDoS existentes.
Nenhum ataque de negação de serviço acontece ao acaso – muito menos um carpet bombing. Eles são cuidadosamente planejados por cibercriminosos para produzir alguns efeitos indesejados nos negócios da vítima: deterioração do serviço, irritação dos clientes, queda na reputação da empresa, perda de receita e, depois disso tudo, perda de mercado. Em momentos anteriores ou logo após o incidente, os cibercriminosos enviam à vítima a informação de que ela deve fazer um ou mais pagamentos, ou os ataques não serão interrompidos.
Pagar resgate: o barato que sai caro
Grande parte das vítimas são provedores de acesso à internet em pequenas localidades do Brasil: suas redes sofrem um bombardeio de solicitações que degrada o serviço e prejudica o tráfego dos clientes. Em março de 2023, vários provedores de acesso do Rio de Janeiro e do Rio Grande do Sul foram atingidos com ataques de negação de serviço lançados por malfeitores que exigiam pagamento em dinheiro para suspendê-los. Como é preciso contratar serviços de filtragem de pacotes para proteger o tráfego, o que os criminosos fazem é pedir um resgate de valor inferior a esses serviços – indicando ser mais barato pagar o resgate do que contratar um fornecedor que traga a solução.
Mas, nesse caso, o barato sai caro: sem a proteção de um serviço de telecomunicações que domine a tecnologia de mitigação de carpet bombing, como é a Huge Networks, o problema, em breve, voltará. E quanto tempo vai durar? Ninguém sabe.