DDoS и ныне там: Россия стала одной из самых кибератакуемых стран мира

Рост угроз связывают с появлением хактивистов
Мария Фролова
Фото: РИА Новости/Наталья Селиверстова

Россия стала одной из самых кибератакуемых стран. В прошлом году она оказалась на четвертом месте в мире по количеству DDoS-атак, направленных на коммерческие структуры и государственные предприятия, — об этом сообщили в компании StormWall, которая занимается разработкой решений по защите бизнеса от кибератак. Подробности о механизмах таких угроз и путях борьбы с ними — в материале «Известий».

Рекордные атаки

Как рассказали «Известиям» в компании StormWall, в прошлом году атаки на Россию занимали 8,4% от общего количества киберпокушений на все страны мира. Такие высокие показатели специалисты зафиксировали впервые. Еще большее количество инцидентов пришлось на Китай и Индию — но они традиционно являются самыми атакуемыми.

По данным «Лаборатории Касперского», в 2022 году количество атак в России выросло на 60–70% по сравнению с 2021-м. Основной причиной стало появление политически мотивированных хактивистов — пользователей, которые не обладают особыми техническими навыками, но стремятся нанести организациям любой возможный ущерб.

Фото: ТАСС/ZUMA Press Wire/La Nacion

Как правило, они получают от инициаторов атаки специализированное ПО и инструкции, а затем начинают массово атаковать цель. Чаще всего хактивисты выбирают критически важные отрасли России, чтобы навредить экономике страны.

— Хактивисты использовали как стандартные доступные инструменты, так и хакерские утилиты, специально разработанные для проведения DDoS-атак. Кроме того, ряд покушений был организован злоумышленниками с целью вымогательства, а также конкурентами, — отметили в StormWall.

Что такое DDoS-атаки

Как объясняет «Известиям» CEO и сооснователь StormWall Рамиль Хантимиров, DDoS-атака — это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры компании и клиентских сервисов. Преступники искусственно создают рост запросов к онлайн-ресурсу, чтобы увеличить на него нагрузку и вывести из строя.

Дело в том, что веб-серверы имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки, существуют ограничения пропускной способности канала, который соединяет сервер с интернетом.

— Когда количество запросов превышает производительность какого-либо элемента инфраструктуры, веб-ресурс может прекратить работать вовсе, происходит «отказ в обслуживании». Проще говоря, пользователь просто не сможет открыть веб-страницу, — объясняет эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.

Фото: ТАСС/Антон Новодережкин

По словам Рамиля Хантимирова, каждая успешная DDoS-атака может закончиться тем, что сайт потеряет работоспособность, клиенты уйдут к конкурентам, а прибыль снизится. Если сайт предоставляет важные услуги, то возможна утрата доверия пользователей и потеря репутации.

При этом со временем атаки становятся всё более мощными и сложными: с ними уже невозможно бороться без внешней помощи и использования профессиональных решений.

— Если говорить про Россию, то в прошлом году многие компании подключили защиту, которая была эффективной против DDoS-атак. У некоторых ранее была подключена базовая защита и они никогда не сталкивались с DDoS-атаками, а теперь столкнулись, — отмечает Хантимиров.

Что атаковали

Проанализировав показатели ударов по различным индустриям, эксперты выяснили, что большинство DDoS-атак в прошлом году было направлено на финансовую отрасль (28% от общего числа), телекоммуникационную сферу (18%), госсектор (14%) и ритейл (12%).

Кроме того, злоумышленники организовали много DDoS-атак на развлекательную сферу (10%), сферу страхования (7%), СМИ (5%), образовательный сектор (3%), логистическую отрасль (2%) и остальные (1%).

— Из-за высокой активности политически мотивированных хактивистов количество DDoS-атак на различные отрасли увеличилось в несколько раз, — рассказали в StormWall. — Наши специалисты выявили, что число атак на финансовый сектор выросло в 18 раз, на телеком-сферу — в 12 раз, на госсектор — в 25 раз, на СМИ — в 30 раз, на ритейл — в восемь раз, на развлекательную и логистическую отрасли — в четыре раза.

Фото: РИА Новости/Виталий Тимкив

Массовые киберпокушения на сферу страхования, брокерские компании, СМИ и магазины военного обмундирования в России были зафиксированы впервые. Их организовали хактивисты, пытавшиеся искать новые цели, объясняют эксперты компании.

По словам Виктора Чебышева из «Лаборатории Касперского», характер DDoS менялся на протяжении всего года: если весной они были простыми, то в дальнейшем становились всё более сложными и продолжительными. Согласно данным Kaspersky DDoS Protection, одна из атак началась в мае и продолжалась почти 29 дней.

Пиковыми месяцами стали март, апрель, май, июнь, август и сентябрь. В марте на многие финансовые организации, нефтегазовые и энергетические компании обрушился ураган атак хактивистов, и именно в марте началось массовое подключение российских организаций к профессиональным облачным сервисам Anti-DDoS, что позволило снизить число громких DDoS-инцидентов в течение года.

Механизмы защиты

Несмотря на то что в конце 2022 года число DDoS-ударов значительно снизилось, эксперты StormWall считают, что в 2023-м возможен значительный рост атак на ключевые отрасли.

Специалисты ожидают увеличения числа киберинцидентов до 300% на нефтегазовый сектор и энергетическую отрасль в феврале и марте 2023 года в связи с огромным влиянием этих индустрий на текущую политическую ситуацию в мире.

Кроме того, не исключен рост атак и на другие отрасти, причем эксперты уверены, что они будут всё чаще использоваться для маскировки других целевых атак с целью нарушения работоспособности систем и кражи персональных данных для их продажи или использования политически мотивированными хактивистами.

Фото: РИА Новости/Павел Бедняков

Как объясняют собеседники «Известий», у российских компаний есть ряд методов борьбы с такими посягательствами: настройка файрволла, управление глобальной маршрутизацией (BGP Flowspec), а также аппаратно-программные комплексы фильтрации.

— Каждый из методов помогает от определенных угроз, однако эффективны они только в связке, а таковая требует и расходов, и компетентных операторов в штате. При этом время и соотношение мощности к затратам всегда играет на руку атакующим, — рассказал основатель Qrator Labs Александр Лямин.

Кроме того, масштабная атака может нарушить работу дата-центра, хостинга или оператора связи «выше по течению» — тогда любые из этих методов окажутся бесполезны. Поэтому, чтобы всерьез обезопасить компанию от DDoS-атак, необходимо оборудование, алгоритмы и инфраструктура для их быстрого обнаружения, запас канальной емкости и серверных мощностей для фильтрации паразитного трафика.

— Такие возможности предлагают крупные операторы связи и облачные сервисы. «Облака» обычно содержат собственные центры очистки DDoS-трафика как в РФ, так и за рубежом: для борьбы с по-настоящему крупными атаками требуется присутствие по всему миру, — заключил Александр Лямин.