Akamai在今年2月份的一周时间内就发现了利用超过100万个IP地址发动自动攻击并测试登录凭证、劫持用户账户。
Akamai指出,犯罪分子通过1,127,818个不同的IP地址利用220,758,340个邮件地址发动了774,361,093次登录尝试。攻击者针对多种服务发动了攻击,不过多数都是专门指向两家公司,一家是金融公司一家是媒体及娱乐公司。其中,针对金融公司的攻击数量占总攻击数量的90%以上。Akamai表示犯罪分子通过993,547个不同的IP地址检查了427,444,261个账户,其中有22,555个IP地址之前曾被Akamai公司的WAF列入黑名单。
针对金融机构的攻击来势凶猛,攻击者第一年检查了超过24.8万个IP地址,而最后一天即攻击的第七天更是达到高潮,测试了超过52.6万个IP地址,占攻击所利用IP地址的一半多。
犯罪分子还在同一个星期针对一家媒体和娱乐公司发动了类似攻击。Akamai检测到817,390个IP地址利用65,556,491个邮件地址做出了388,674,528个登录尝试。攻击手法跟针对金融机构的攻击一致,也是开始和结束时攻击力度很强劲。Akamai表示778,786个IP地址中超过70%的地址都被用于两次攻击中,也就是说两次攻击的幕后黑手是同一个组织。
Akamai专家表示,很大一部分的IP地址跟代理服务器相对应,此外还发现很多被攻陷的家庭路由器也参与了攻击,例如被攻陷的ZyXel猫和路由器僵尸网络以及Arris有线猫僵尸网络。去年11月份,安全专家曾在Arris有线猫中发现并公开披露了至少三个不同的后门。
行业专家将此类攻击称作ATO(账户控制,也即身份测试攻击),是暴力攻击的一种类型。犯罪分子利用公开的数据泄露从PasteBin等网站中收集账户凭证,然后针对用户可能复用登录详情的服务发动攻击。另外,攻击者还会在地下入侵论坛中批量购买被泄露凭证,同时也会通过SQL注入攻击企业窃取账户详情。
上周,GitHub也遭受到类似的ATO攻击。GitHub表示攻击者设法访问了一些账户,因此公司不得不为受影响账户重设密码。