Поймали волну: что стоит за весенними DDoS-атаками на российские компании

По всем целям сразу

О мощнейших DDoS-атаках на российские компании, зафиксированных весной 2023 года, «Известиям» рассказали в компании StormWall. По данным ее специалистов, хакеры концентрировались на организации комплексных атак, направленных сразу на несколько сетевых уровней и элементов инфраструктуры организации.

— Хакеры одновременно запускали атаки на сайт, сеть и инфраструктуру компании, чтобы нанести ей максимальный вред. Инциденты нанесли большой ущерб бизнесу, — отметили в StormWall.

Эксперты отметили, что в I квартале 2023 года комплексных атак стало вдвое больше по сравнению с аналогичным периодом прошлого года. Атаки проводили политически мотивированные хактивисты, которые начали агрессивно нападать на российские компании после затишья в конце 2022 года.

Кого атаковали чаще

По данным экспертов StormWall, самыми атакуемыми отраслями в I квартале 2023 года стали финансовая сфера (32% от общего числа инцидентов), e-commerce (26%) и сфера развлечений (14%). Кроме того, было много атак на телеком-сферу (10%), страхование (7%), нефтегазовую отрасль (5%), производственную сферу (3%) и образование (2%).

— Больше всего выросло количество атак на развлекательную сферу — на 97% по сравнению с прошлым годом. Пиковым месяцем стал январь, — говорят в компании.

Число атак на российские финансовые организации увеличилось на 62% (пиковые месяцы — январь и март), а на e-commerce — на 38% (максимальное число зафиксировано в феврале). При этом в начале года злоумышленники часто использовали DDoS-атаки для прикрытия сложных целевых нападений на российские компании. По сравнению с I кварталом 2022 года это число выросло почти вдвое — на 47%.

По прогнозам экспертов StormWall, в будущем число DDoS-атак на российские компании будет расти. При этом их мощность может достигать 2,5–3 Тбит/с за счет создания новых гигантских ботнетов, которыми сейчас активно пользуются злоумышленники.

— Также киберпреступники уже изучают возможности ChatGPT для запуска более разрушительных атак, и российские организации могут очень скоро столкнуться с новой угрозой, — предсказывают эксперты.

Как происходят атаки

Как поясняет в беседе с «Известиями» коммерческий директор компании «Код безопасности» Федор Дбар, раньше в мире не было такого большого количества личных гаджетов. Поэтому хакеры заражали одну рабочую станцию и вели атаки с нее. Но сейчас удары поступают с разных источников — именно поэтому атака и называется комплексной.

— С этих источников, в роли которых могут выступать зараженные серверы, мобильные телефоны, компьютеры и домашние роутеры, в единый момент времени поступает громадное количество запросов, сервисы их обработать не могут и «падают», — объясняет Дбар.

Менеджер продукта Qrator Labs Георгий Тарасов указывает на то, что комбинированные методы атак становятся всё популярнее, поскольку сейчас даже базовые средства защиты научились хорошо справляться с обнаружением и блокировкой трафика DDoS-атаки, идущей по одному вектору. Тарасов отмечает, что современные инструменты для организации DDoS-атак, включая программы, распространяемые среди их добровольных участников, уже имеют комбинированный DDoS-трафик в качестве базовой функции. Примером может служить генерация UDP+HTTPS флуда.

— Комплексные DDoS-атаки сложнее фильтруются и могут навредить большему числу элементов инфраструктуры одновременно (каналы, шлюз, балансировщик, приложение), — рассказывает специалист. — Для защиты от них требуется анализ трафика на всех уровнях модели OSI.

Удар по уязвимостям

С одной стороны, комплексные DDoS-атаки подразумевают наличие множества источников нелегитимных запросов. С другой — такие атаки направлены сразу на множество интернет-активов компании. Благодаря этому киберпреступники эффективнее используют слабые места в защите.

— Очень часто компании ставят на защиту свои основные ресурсы с точки зрения бизнеса, но забывают про защиту сети и менее важных ресурсов, используемых внутри самой компании или отдельных сервисов, которые не считаются критичными, — объясняет руководитель и сооснователь компании StormWall Рамиль Хантимиров.

Хакеры успешно пользуются такой недальновидностью, причем комплексные DDoS-атаки приводят к недоступности всех ресурсов. По словам Федора Дбара, это чревато репутационным ущербом. Поэтому хакеры зачастую выбирают социально значимые сферы и такие порталы, где остановку работы заметит наибольшее количество людей. Это могут быть сайты различных министерств или популярные порталы, такие как сервисы для покупки еды или одежды. Но порой комплексные DDoS-атаки преследуют более важные цели.

— Например, при помощи них хакеры могут попытаться получить доступ к внутренним ресурсам какого-то серьезного портала, — рассказывает собеседник «Известий». — Для этого вначале они атакуют другой портал, который обеспечивает безопасность основной цели. И пока «защитник» выведен из строя, злоумышленники проникают в систему основной цели.

Способы защиты

По мнению Федора Дбара, в эпоху глобального противостояния на уровне стран и накаленной обстановки DDoS-атаки выступают как средство дестабилизации. Именно поэтому они будут использоваться постоянно.

Более того, количество подобных атак может со временем увеличиться. И хотя полностью защититься от DDoS-ударов нельзя, можно сделать некоторые шаги в этом направлении.

— Нужно более комплексно подходить к защите своих ресурсов, — говорит Рамиль Хантимиров. — Мало просто подключить защиту, необходимо составить перечень ресурсов и определить, на каких уровнях их необходимо защищать, заранее подключить эту защиту, держать список ресурсов в актуальном состоянии и периодически проверять, как работает защита.

В свою очередь, Федор Дбар объясняет, что в первую очередь должна быть подготовлена сетевая инфраструктура. Это нужно для того, чтобы в случае DDoS-атаки хотя бы часть узлов IT-инфраструктуры оставалась «живой» и поддерживала общую работоспособность сервиса. С тех же узлов ведется наблюдение за атакой и вычисляются источники DDoS, которые затем блокируются.

— Еще один инструмент — тесный контакт с интернет-провайдерами. Они подключаются к защите при DDoS, блокируют источники, с которых идут нелегитимные запросы, и настраивают маршрутизацию так, чтобы легитимные юзеры могли пользоваться сервисом, — заключил Федор Дбар.

Мария Фролова