Op 7 oktober 2023, om 03.30 uur GMT (06.30 uur lokale tijd), viel Hamas Israëlische steden aan en vuurde duizenden raketten af op dichtbevolkte locaties in het zuiden en midden van Israël, waaronder Tel Aviv en Jeruzalem. Luchtalarmsirenes begonnen te klinken en gaven burgers de opdracht dekking te zoeken.
Ongeveer twaalf minuten later detecteerden en beperkten Cloudflare-systemen automatisch DDoS-aanvallen die gericht waren op websites die kritieke informatie en waarschuwingen aan burgers verstrekken over raketaanvallen. De eerste aanval piekte op 100.000 verzoeken per seconde (rps) en duurde tien minuten. Vijfenveertig minuten later begon een tweede, veel grotere aanval, met een piek van 1 miljoen rps. Deze duurde zes minuten. De uren erna bleven nog meer kleinere DDoS-aanvallen de websites treffen.
Niet alleen DDoS-aanvallen
Meerdere Israëlische websites en mobiele apps zijn doelwit geworden van verschillende pro-Palestijnse hacktivistische groepen. Volgens Cybernews maakte een van die groepen, AnonGhost, misbruik van een kwetsbaarheid in een mobiele app die Israëlische burgers waarschuwt voor inkomende raketten, “Red Alert: Israel”. Dankzij deze actie konden ze verzoeken onderscheppen, servers en API's blootleggen en valse waarschuwingen naar sommige app-gebruikers sturen, inclusief een bericht dat er een“nucleaire bom op komst is”.
AnonGhost beweerde ook verschillende andere apps die waarschuwen voor raketten te hebben aangevallen.Op 14 oktober maakten we de bevindingen bekend van een van onze onderzoeken die werd uitgevoerd door het Cloudforce One Threat Operations-team, dat kwaadaardige mobiele Android-toepassingen identificeerde die zich voordeden als de legitieme RedAlert - Rocket Alerts-toepassing. De kwaadaardige apps kregen toegang tot gevoelige gebruikersinformatie, zoals de contactenlijst van de mobiele telefoon, sms-berichten, telefoongesprekslogboeken, geïnstalleerde toepassingen en informatie over de telefoon en de simkaart zelf. Meer technische informatie over ons onderzoek kunt u hier vinden.
Bovendien heeft Cloudflare een Israëlische website geïdentificeerd die gedeeltelijk onleesbaar was gemaakt door AnonGhost. Deze website maakte geen gebruik van Cloudflare, maar we hebben contact opgenomen met de organisatie om ondersteuning te bieden.
Aanhoudende DDoS-bombardementen
In de dagen na de aanval van 7 oktober zijn Israëlische websites zwaar het doelwit geweest van DDoS-aanvallen. Cloudflare heeft velen van hen onder zijn vleugels genomen en beschermd.
Sinds de aanval van 7 oktober 2023 zijn kranten- en mediawebsites het belangrijkste doelwit van DDoS-aanvallen – goed voor 56% van alle aanvallen op Israëlische websites. We zagen dezelfde trends toen Rusland Oekraïne aanviel. Oekraïense media en omroepwebsites werden veelvuldig aangevallen. De oorlog op het terrein gaat vaak gepaard met cyberaanvallen op websites die cruciale informatie voor burgers verschaffen.
De op één na meest aangevallen bedrijfstak in Israël was de computersoftware-industrie. Bijna 34% van alle DDoS-aanvallen waren gericht op computersoftwarebedrijven. Op de derde plaats, en belangrijker nog, werden de banken, financiële diensten en verzekeringen (BFSI) aangevallen. Websites van de overheid kwamen op de vierde plaats.
We kunnen ook zien dat Israëlische kranten- en mediawebsites onmiddellijk na de aanval van 7 oktober het doelwit waren.
Sinds 1 oktober 2023 heeft Cloudflare automatisch meer dan 5 miljard HTTP-verzoeken gedetecteerd en verholpen die deel uitmaakten van DDoS-aanvallen. Vóór 7 oktober waren er nauwelijks HTTP DDoS-aanvalsverzoeken richting Israëlische websites die Cloudflare gebruiken.
Op de dag van de Hamas-aanval nam het percentage DDoS-aanvalsverkeer echter toe. Bijna 1 op de 100 verzoeken aan Israëlische websites die Cloudflare gebruiken, maakten deel uit van een HTTP DDoS-aanval. Dat cijfer verviervoudigde op 8 oktober.
Cyberaanvallen op Palestijnse websites
In hetzelfde tijdsbestek, vanaf 1 oktober, heeft Cloudflare automatisch meer dan 454 miljoen HTTP DDoS-aanvalsverzoeken gedetecteerd en beperkt die gericht waren op Palestijnse websites die Cloudflare gebruiken. Hoewel dat cijfer nauwelijks een tiende is van het aantal aanvalsverzoeken tegen Israëlische websites die Cloudflare gebruiken dat we hebben gezien, vertegenwoordigt het een verhoudingsgewijs groter deel van het totale verkeer naar Palestijnse websites die Cloudflare gebruiken.
Op de dagen vóór de Hamas-aanval zagen we geen DDoS-aanvallen tegen Palestijnse websites die Cloudflare gebruiken. Dat veranderde op 7 oktober; ruim 46% van al het verkeer naar Palestijnse websites die Cloudflare gebruiken, maakte deel uit van HTTP DDoS-aanvallen.
Op 9 oktober steeg dat cijfer tot bijna 60%. Bijna zes op de tien HTTP-verzoeken aan Palestijnse websites die Cloudflare gebruiken, maakten deel uit van DDoS-aanvallen.
We kunnen deze aanvallen ook zien in de pieken in de onderstaande grafiek na de Hamas-aanval.
Er zijn de afgelopen weken drie Palestijnse bedrijfstakken aangevallen. De absolute meerderheid van de HTTP DDoS-aanvallen was gericht tegen websites van banken: bijna 76% van alle aanvallen. De tweede meest aangevallen sector was de internetindustrie, met een aandeel van 24% van alle DDoS-aanvallen. Een ander klein deel was gericht op mediaproductie-websites.
Beveilig uw applicaties en voorkom DDoS-aanvallen
Zoals we de afgelopen jaren hebben gezien, gaan conflicten en oorlogen in de echte wereld altijd gepaard met cyberaanvallen. We hebben een lijst met aanbevelingen samengesteld om uw verdediging tegen DDoS-aanvallen te optimaliseren. U kunt ook onze stapsgewijze wizards volgen om uw toepassingen te beveiligen en DDoS-aanvallen te voorkomen.
Lezers worden ook uitgenodigd om dieper in het Radar-dashboard te duiken om inzichten en trends in verkeer en aanvallen in Israël en Palestina. te bekijken. U kunt ook meer lezen over de Internetverkeer en aanvalstrend in Israël en Palestina na de aanval van 7 oktober.
Wordt u aangevallen of heeft u extra bescherming nodig? Klik hier voor hulp.
Klik hier om u te beschermen tegen kwaadaardige mobiele apps
Een opmerking over onze methodes
De inzichten die we bieden zijn gebaseerd op verkeer en aanvallen die we zien tegen websites die Cloudflare gebruiken, tenzij anders vermeld of verwezen naar een externe bron. Meer informatie over onze methodes kunt u hiervinden.