DataDome

Comment DataDome a protégé une plateforme de jeux asiatique contre une attaque de credential stuffing qui a duré 3 semaines

Table des matières
Antoine Vastel, VP of Research
18 Mar, 2024
|
min

Dans cet article, nous détaillons une attaque de credential stuffing qui a duré trois semaines et qui a ciblé une importante plateforme de jeux asiatique. À la fin de l’attaque, plus de 25 millions de tentatives de connexion malveillantes avaient été stoppées grâce à la protection de DataDome.

Principales statistiques

Pendant trois semaines, du 10 février au 3 mars 2024, l’API de connexion de la plateforme de jeux a été la cible d’une attaque de credential stuffing.

1 6 5 9 5
1
7 8 7 3 3
7
2 6 9 1 9
2
3 8 2 2
5 2 6 0 5
5
1 5 2 3 5
1
3 7 0 8 1
3
adresses IP effectuant des requêtes.
1 4 4 7 7
1
5 5 1 3 4
5
0 2 3 9 5
0
tentatives de connexion par adresse IP.
+ 9 0 9 3
+
2 6 7 4 9
2
5 9 9 3 9
5
millions de tentatives de connexion malveillantes au total.

Aperçu de l’attaque de credential stuffing

Le graphique ci-dessous (image 1) représente le trafic des bots détecté pendant l’attaque de 3 semaines par notre moteur de détection. L’attaque a atteint un pic de plus de 1,2 million de tentatives de connexion malveillantes par tranche de 12 heures le 25 février 2024.

Chronologie de l'attaque de la plateforme de jeux

Image 1: nombre de tentatives de connexion malveillantes gérées par le moteur de détection de bots de DataDome au fil du temps pendant l’attaque

Répartition de l’attaque

Sur la période de 3 semaines qu’a duré l’attaque, l’attaquant a utilisé plus de 172 000 adresses IP distinctes situées dans différents systèmes autonomes de différents pays. L’image 2 représente le nombre de tentatives de connexion malveillantes par pays, déduites de la localisation des adresses IP, pour les 10 premiers pays.

Attaque de la plateforme de jeux, attaques par pays

Image 2: volume des tentatives de connexion malveillantes par pays impliqué dans l’attaque

Indicateurs de compromission de l’attaque (IoC)

Bien que l’attaque soit fortement distribuée avec plus de 172 000 adresses IP, l’attaquant utilisait une empreinte côté serveur statique. Toutes les requêtes avaient la même combinaison de HTTP :

  • L’attaquant utilisait un seul user-agent : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 OPR/106.0.0.0.
  • Le bot utilisait une seule langue d’acceptation : vi-VN,vi;q=0.9.
  • Le bot utilisait un en-tête d’acceptation cohérent avec l’API ciblée : application/json, text/plain, */*.
  • Cependant, son en-tête d’acceptation d’encodage ne contenait pas l’encodage brotli (br) : gzip, deflate.
  • Chaque bot définissait un référent égal à la page de connexion où la requête de l’API POST de connexion était effectuée.
  • Les bots n’exécutaient pas de JavaScript.

Comment l’attaque a-t-elle été bloquée ?

Grâce à notre approche de détection multicouche, l’attaque a été bloquée en utilisant différentes catégories de signaux indépendants. Ainsi, si l’attaquant avait modifié une partie de son bot (par exemple, l’empreinte ou le comportement), il aurait probablement été détecté en utilisant d’autres signaux et approches.

Les principaux signaux et approches de détection ici étaient les suivants :

  • Manque d’exécution de JavaScript : l’attaquant n’a jamais envoyé de charge utile JS, que ce soit de notre balise JS ou de notre page de vérification de l’appareil.
  • Incohérence de l’empreinte côté serveur : l’attaque disposait d’une empreinte digitale unique côté serveur qui montrait certaines incohérences, telles que l’ordre spécifique des en-têtes HTTP, ou l’absence d’encodage brotli sur le navigateur Opera.
  • Mauvaise gestion du cookie de session DataDome : le bot utilisé dans l’attaque gérait les cookies de manière incorrecte, notamment en ce qui concerne le cookie de session DataDome qui était transféré entre différentes adresses IP situées dans différents pays.
  • Détection comportementale : notre moteur comportemental a détecté un volume anormal de tentatives de connexion échouées par session et par adresse IP.
  • Détection de proxy résidentiel : nos modèles de ML ont également été en mesure de tirer parti du fait que la plupart des requêtes de l’attaquant provenaient d’adresses IP signalées comme proxys.

Conclusion

Les attaques de credential stuffing peuvent causer un énorme gaspillage de ressources serveur, sans parler du risque d’account takeover qui peut entraîner des impacts négatifs sur la réputation de la marque et l’expérience client. Ces attaques peuvent être réalisées par une ou deux adresses IP, mais de plus en plus d’attaquants utilisent des méthodes hautement distribuées pour essayer de contourner la protection. Le puissant moteur de détection ML multicouche de DataDome examine autant de signaux que possible, des empreintes à la réputation, pour détecter même les bots les plus sophistiqués. Suivre l’évolution des empreintes des bots, telle que l’utilisation de proxy, est essentiel pour lutter contre les menaces principales d’aujourd’hui, et DataDome peut le faire.

Pour mieux comprendre comment DataDome peut arrêter les attaques de credential stuffing, réservez une démo dès aujourd’hui.

DataDome
Antoine Vastel
VP of Research
Antoine Vastel est vice-président de la recherche chez DataDome, où il supervise le SOC et l'équipe de recherche sur les menaces. À ce titre, il se concentre sur l'amélioration du moteur de détection des bots en temps réel de DataDome à travers différentes approches, notamment la détection comportementale, l'empreinte digitale HTTP/navigateur, la détection des proxys/IP infectés et la détection des fermes à CAPTCHA. Antoine est titulaire d'un doctorat en informatique avec une spécialisation dans l'empreinte digitale des navigateurs.

Articles liés