Поймали волну: что стоит за весенними DDoS-атаками на российские компании
Весной на российские компании обрушились комплексные DDoS-атаки. Эксперты заметили, что хакеры стали чаще использовать тактику запуска атак на отдельные ресурсы компаний. Что стоит за новыми DDoS-инцидентами на российский бизнес, выясняли «Известия».
По всем целям сразу
О мощнейших DDoS-атаках на российские компании, зафиксированных весной 2023 года, «Известиям» рассказали в компании StormWall. По данным ее специалистов, хакеры концентрировались на организации комплексных атак, направленных сразу на несколько сетевых уровней и элементов инфраструктуры организации.
— Хакеры одновременно запускали атаки на сайт, сеть и инфраструктуру компании, чтобы нанести ей максимальный вред. Инциденты нанесли большой ущерб бизнесу, — отметили в StormWall.
Эксперты отметили, что в I квартале 2023 года комплексных атак стало вдвое больше по сравнению с аналогичным периодом прошлого года. Атаки проводили политически мотивированные хактивисты, которые начали агрессивно нападать на российские компании после затишья в конце 2022 года.
Кого атаковали чаще
По данным экспертов StormWall, самыми атакуемыми отраслями в I квартале 2023 года стали финансовая сфера (32% от общего числа инцидентов), e-commerce (26%) и сфера развлечений (14%). Кроме того, было много атак на телеком-сферу (10%), страхование (7%), нефтегазовую отрасль (5%), производственную сферу (3%) и образование (2%).
— Больше всего выросло количество атак на развлекательную сферу — на 97% по сравнению с прошлым годом. Пиковым месяцем стал январь, — говорят в компании.
Число атак на российские финансовые организации увеличилось на 62% (пиковые месяцы — январь и март), а на e-commerce — на 38% (максимальное число зафиксировано в феврале). При этом в начале года злоумышленники часто использовали DDoS-атаки для прикрытия сложных целевых нападений на российские компании. По сравнению с I кварталом 2022 года это число выросло почти вдвое — на 47%.
По прогнозам экспертов StormWall, в будущем число DDoS-атак на российские компании будет расти. При этом их мощность может достигать 2,5–3 Тбит/с за счет создания новых гигантских ботнетов, которыми сейчас активно пользуются злоумышленники.
— Также киберпреступники уже изучают возможности ChatGPT для запуска более разрушительных атак, и российские организации могут очень скоро столкнуться с новой угрозой, — предсказывают эксперты.
Как происходят атаки
Как поясняет в беседе с «Известиями» коммерческий директор компании «Код безопасности» Федор Дбар, раньше в мире не было такого большого количества личных гаджетов. Поэтому хакеры заражали одну рабочую станцию и вели атаки с нее. Но сейчас удары поступают с разных источников — именно поэтому атака и называется комплексной.
— С этих источников, в роли которых могут выступать зараженные серверы, мобильные телефоны, компьютеры и домашние роутеры, в единый момент времени поступает громадное количество запросов, сервисы их обработать не могут и «падают», — объясняет Дбар.
Менеджер продукта Qrator Labs Георгий Тарасов указывает на то, что комбинированные методы атак становятся всё популярнее, поскольку сейчас даже базовые средства защиты научились хорошо справляться с обнаружением и блокировкой трафика DDoS-атаки, идущей по одному вектору. Тарасов отмечает, что современные инструменты для организации DDoS-атак, включая программы, распространяемые среди их добровольных участников, уже имеют комбинированный DDoS-трафик в качестве базовой функции. Примером может служить генерация UDP+HTTPS флуда.
— Комплексные DDoS-атаки сложнее фильтруются и могут навредить большему числу элементов инфраструктуры одновременно (каналы, шлюз, балансировщик, приложение), — рассказывает специалист. — Для защиты от них требуется анализ трафика на всех уровнях модели OSI.
Удар по уязвимостям
С одной стороны, комплексные DDoS-атаки подразумевают наличие множества источников нелегитимных запросов. С другой — такие атаки направлены сразу на множество интернет-активов компании. Благодаря этому киберпреступники эффективнее используют слабые места в защите.
— Очень часто компании ставят на защиту свои основные ресурсы с точки зрения бизнеса, но забывают про защиту сети и менее важных ресурсов, используемых внутри самой компании или отдельных сервисов, которые не считаются критичными, — объясняет руководитель и сооснователь компании StormWall Рамиль Хантимиров.
Хакеры успешно пользуются такой недальновидностью, причем комплексные DDoS-атаки приводят к недоступности всех ресурсов. По словам Федора Дбара, это чревато репутационным ущербом. Поэтому хакеры зачастую выбирают социально значимые сферы и такие порталы, где остановку работы заметит наибольшее количество людей. Это могут быть сайты различных министерств или популярные порталы, такие как сервисы для покупки еды или одежды. Но порой комплексные DDoS-атаки преследуют более важные цели.
— Например, при помощи них хакеры могут попытаться получить доступ к внутренним ресурсам какого-то серьезного портала, — рассказывает собеседник «Известий». — Для этого вначале они атакуют другой портал, который обеспечивает безопасность основной цели. И пока «защитник» выведен из строя, злоумышленники проникают в систему основной цели.
Способы защиты
По мнению Федора Дбара, в эпоху глобального противостояния на уровне стран и накаленной обстановки DDoS-атаки выступают как средство дестабилизации. Именно поэтому они будут использоваться постоянно.
Более того, количество подобных атак может со временем увеличиться. И хотя полностью защититься от DDoS-ударов нельзя, можно сделать некоторые шаги в этом направлении.
— Нужно более комплексно подходить к защите своих ресурсов, — говорит Рамиль Хантимиров. — Мало просто подключить защиту, необходимо составить перечень ресурсов и определить, на каких уровнях их необходимо защищать, заранее подключить эту защиту, держать список ресурсов в актуальном состоянии и периодически проверять, как работает защита.
В свою очередь, Федор Дбар объясняет, что в первую очередь должна быть подготовлена сетевая инфраструктура. Это нужно для того, чтобы в случае DDoS-атаки хотя бы часть узлов IT-инфраструктуры оставалась «живой» и поддерживала общую работоспособность сервиса. С тех же узлов ведется наблюдение за атакой и вычисляются источники DDoS, которые затем блокируются.
— Еще один инструмент — тесный контакт с интернет-провайдерами. Они подключаются к защите при DDoS, блокируют источники, с которых идут нелегитимные запросы, и настраивают маршрутизацию так, чтобы легитимные юзеры могли пользоваться сервисом, — заключил Федор Дбар.
