Attaques DDoS contre le secteur bancaire turc et le DNS .tr

Entre le 14 et le 25 décembre 2015, le secteur financier turc et la dorsale internet nationale ont été frappés par une campagne soutenue de déni de service distribué (DDoS) qui a mis hors ligne la banque en ligne et les paiements par carte et dégradé l'infrastructure du domaine .tr du pays pendant près d'une semaine.

Ce qui s'est passé

La campagne a débuté par une attaque contre NIC.tr, le registre exploité par l'Université technique du Moyen-Orient (METU) qui gère le domaine de premier niveau .tr de la Turquie. Un déluge culminant autour de 40 Gbit/s a submergé les serveurs DNS faisant autorité, coupant par intermittence la résolution pour une grande partie des quelque 400 000 domaines .tr enregistrés — y compris des sites bancaires, gouvernementaux et commerciaux devenus injoignables même lorsque leurs propres serveurs étaient sains.

Les attaquants se sont ensuite tournés directement vers les banques. Les sites web et les terminaux de paiement (TPV) du prêteur public Ziraat Bankası et des banques privées İş Bankası et Garanti sont tombés partiellement hors ligne, perturbant la banque en ligne et les transactions par carte pour les clients du pays. Türk Telekom a confirmé se défendre contre une attaque « sérieuse » et « lourde ».

Attribution et mobile

Anonymous a revendiqué la responsabilité, présentant la campagne comme une représailles au soutien présumé du gouvernement turc à l'EI/Daech. Dans une vidéo diffusée avant les attaques, le groupe avertissait : « Si vous ne cessez pas de soutenir l'EI, nous continuerons d'attaquer votre internet, votre DNS racine, vos banques et de mettre à bas vos sites gouvernementaux. » Le collectif hacktiviste turc RedHack a également célébré publiquement la perturbation.

Conséquences

Banque en ligne et traitement des cartes par TPV indisponibles par intermittence dans trois des plus grandes banques de Turquie durant la période d'avant-fêtes.
Une grande partie des domaines .tr affectée par l'attaque au niveau du DNS, en faisant une rare frappe sur l'infrastructure internet centrale d'un pays plutôt que sur une victime unique.
Aucune donnée volée et aucune rançon exigée — l'objectif était la perturbation et la signalisation politique.

Pourquoi c'est important

La campagne de décembre 2015 est un cas d'école de hacktivisme visant la disponibilité d'infrastructures critiques. En attaquant le registre .tr, les opérateurs ont montré que frapper un unique goulet d'étranglement DNS peut se répercuter simultanément sur la banque, le gouvernement et le commerce de toute une nation. Cela a poussé le régulateur bancaire turc (BDDK) et la banque centrale à durcir les exigences de résilience anti-DDoS dans le secteur financier et demeure la plus importante perturbation cyber au niveau infrastructurel de l'histoire turque moderne.

Chronologie

14 décembre 2015

Anonymous publie une vidéo menaçant d'attaques soutenues contre l'internet, le DNS, les banques et les sites gouvernementaux turcs au motif du soutien présumé de la Turquie à l'EI.

14 décembre 2015

NIC.tr — le registre gérant le domaine de premier niveau .tr de la Turquie — est frappé par un déluge DDoS soutenu culminant autour de 40 Gbit/s.

2015-12-15 / 2015-12-21

Des centaines de milliers de domaines .tr subissent des interruptions intermittentes alors que l'infrastructure DNS est submergée pendant environ une semaine.

24 décembre 2015

Les services bancaires en ligne et les terminaux de paiement de Ziraat Bankası, İş Bankası et Garanti tombent partiellement hors ligne ; les transactions par carte sont perturbées.

25 décembre 2015

Les autorités turques, dont Türk Telekom et le ministère des Transports et Communications, confirment une attaque « sérieuse » et affirment que les défenses tiennent.

Sources

hackread.comhttps://www.hackread.com/anonymous-target-turkish-banks-disrupt-service/

dailydot.comhttps://dailydot.com/layer8/turkey-bank-cyberattacks

bankinfosecurity.comhttps://www.bankinfosecurity.com/ddos-a-8497

gun.av.trhttps://gun.av.tr/insights/updates/the-recent-cyber-attacks-against-banks-in-turkey-the-legal-situation

Incidents liés

DDoSRésolu25 août 2020

Attaques DDoS contre la bourse NZX

Une campagne DDoS volumétrique soutenue a mis hors ligne la bourse de Nouvelle-Zélande pendant une partie de cinq jours de cotation consécutifs, interrompant les échanges car la bourse ne pouvait plus publier les annonces de marché, et provoquant un sévère blâme réglementaire.

Victim: NZX (New Zealand's Exchange)

DDoSRésolu21 octobre 2016

Attaque DDoS Mirai contre le DNS Dyn

Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.

Victim: Dyn, Inc.

Faille zero-dayRésolu31 mai 2023

Exploitation massive de MOVEit Transfer (Cl0p)

Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.

Victim: Progress Software MOVEit Transfer (2 700+ en aval)
Loss: $12.15B
Records: 95.0M

Chaîne d’approvisionnementContenu13 décembre 2020

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim: SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss: $100.00B