Со второй половины февраля 2022 года в рунете начались волнения. Причиной послужили серии кибератак, из-за которых пострадали государственные организации, банки, интернет-ресурсы СМИ, сервисы дистанционного образования и другие компании.
На Хабре и других порталах опубликованы десятки новостей о DDoS-атаках за февраль, март и апрель. Показатели DDoS-атак рекордные и заслуживают внимания.
В этой статье мы постарались прояснить ситуацию с помощью данных систем безопасности Selectel, провайдеров security-сервисов и СМИ. За цифрами приглашаем под кат.
Причины и цели DDoS-атак
С декабря 1999 года, то есть с момента появления DDoS, методы реализации кибератак становятся все более ухищренными. На данный момент DDoS-атаки – самые распространенные инциденты в информационной безопасности. Их последствия налицо: отказы отдельных сервисов и целых провайдеров, задержки в банковских транзакциях.
Злоумышленники часто обращаются к DDoS, чтобы подорвать доверие клиентов к сервису-жертве. И это работает: компания, гарантирующая бесперебойное обслуживание, может потерять клиентов даже из-за незначительного простоя своих сервисов. По данным исследования Лаборатории Касперского за 2015 год, 23% компаний считают, что репутационный ущерб – главная опасность для бизнеса.
Нередко фундаментом для серий атак на государственные и банковские веб-ресурсы становятся социальные, политические и экономические проблемы. Конечно, это не все причины. Личная неприязнь, стремление развлечься, желание нажиться тоже провоцируют атаки. Рост атак этой весной связывают в большей степени с внешнеполитической ситуацией.
Новости об атаках: рекорды, злоумышленники и пострадавшие ресурсы
Начиная со второй половины февраля пострадали государственные ресурсы: Госуслуги, РЖД, Роскосмос, сайты федерального и регионального уровней. СМИ, телеком-провайдеры, онлайн-магазины и другие веб-сервисы тоже попали под удар. Вот уже несколько месяцев публикуются новые отчеты и новости о DDoS-атаках.
Злоумышленники не обошли стороной и банковские инфраструктуры. Оно и неудивительно, ведь даже кратковременные сбои в работе банковских сервисов способны привести к финансовым убыткам и вызвать панику у людей. 12 апреля зампред Центробанка Герман Зубарев заявил, что по сравнению с событиями до второй половины февраля, количество DDoS-инцидентов на финансовые организации увеличилось в 22 раза.
По словам Зубарева, к началу апреля ситуация стабилизировалась, когда ЦБ заменил иностранное программное обеспечение на российское. О каком ПО идет речь и как именно стабилизировалась ситуация, не уточняется.
Зато известно, что на первую половину апреля на финансовые веб-сервисы приходилось 9% всех атак. Об этом сообщил руководитель направления защиты от DDoS L7 Дмитрий Никонов, представитель компании DDoS-Guard.
Топ-10 методов кибератак выглядит так:
Hidden text
TCP/UDP flood
HTTP flood
ICMP flood
DNS flood
SYN flood
Deface
Zero day
Backdoor
Malware
Ransomware
Но во сколько раз выросло число именно DDoS-атак?
DDoS-атаки бьют рекорды
Ребята из Лаборатории Касперского провели исследование, которое показывает, что только в марте число DDoS-атак на российские компании оказалось в 8 раз больше, чем за март 2021 года. По данным исследования, средняя продолжительность атак за февраль-март 2022 года составила 29,5 часов, тогда как в феврале-марте прошлого года атаки длились не больше 12 минут.
Теперь представьте: рекордный по времени инцидент длился больше шести суток – 145 часов (подробнее тут). Интересно, сколько энергетиков выпили системные инженеры?
Вот что думает насчет атак эксперт по кибербезопасности Лаборатории Касперского Александр Гутников:
«В конце IV квартала 2021 года уже фиксировались рекордные для того времени показатели активности злоумышленников, но нынешние цифры значительно превосходят их. По косвенным признакам видно, что в начале всплеска DDoS-атак в них принимало участие большое количество так называемых хактивистов, непрофессиональных хакеров. Со временем их доля в общем числе атакующих снизилась. При этом сами атаки стали более мощными, подготовленными и длительными».
Только по данным за первую четверть 2022 года интенсивность DDoS-атак уровня L7 превысила 10 000 rps, сообщает DDoS-Guard.
Кто совершал атаки
Ответственность за некоторые атаки взяли на себя хактивисты из группировки Anonymous. Несмотря на совсем нетривиальное название, организация хакеров стала известной в Интернете. На нее в очередной раз обратили внимание в том числе благодаря мартовской атаке инфраструктуры Бургер Кинга.
Короли бургеров показали, как относиться к серьезным проблемам с юмором. Видимо, их обращение сработало. Больше новостей об атаках инфраструктуры сети фастфуда не было, а бургеры готовятся в штатном режиме.
Но атака бургерной – не единственное злодеяние группировки. Anonymous взяли на себя ответственность за атаки на ресурсы некоторых СМИ: RT, ТАСС, «Известия», «Фонтанка», РБК, «Коммерсантъ», NEWS.ru, «Мел», Е1.ru и др.
Но как они сумели организовать все эти атаки? Неужели где-то есть подпольный хакерский офис?
Заходишь на сайт, а компьютер флудит запросами
Ближе к марту в сети появились сайты, позволяющие всем желающим содействовать DDoS-атакам на целевые российские веб-ресурсы. «Хакерам» было достаточно зайти на сайт, чтобы вредоносный скрипт начал отправлять флуд-запросы на российские порталы. Появились даже «развлекательные» инструменты для атак, среди которых сайты с игрой в «2048».
Исследователи из Аваст опубликовали статью о сайтах для участия в DDoS-атаках уровня L7. Но есть и другие способы вступить в хакерский кружок. В сети можно найти целые программы, после установки которых компьютер подключается к вредоносному ботнету.
По информации из блога Аваст, только одно приложение для атаки российских сайтов disBalancer установили 900 пользователей Аваста (возможно, уже больше). Как много таких программ сегодня – все еще открытый вопрос.
Аваст отметил, что использование таких программ небезопасно для пользователей. Приложение регистрирует информацию о пользовательской операционке и местоположении хоста, а потом передает по незашифрованному HTTP-протоколу на C&C-сервер.
Источники атак
Откуда исходят атаки? С этим помог разобраться специалист компании DDoS-Guard Дмитрий Никонов. Во время своего доклада на третьем Selectel Meetup Network Дмитрий показал информативный хитмап, на котором видны источники атак:
Большое количество атак идет из Европы (в меньшей степени из северной части), а также с восточной и западной частей Северной Америки. Также участвуют Южная Америка и Азия. Видно, что из России тоже исходит часть атак.
Нельзя сказать, что карта точно отображает первоисточники атак. Потому что есть атаки, организованные через VPN-серверы. Трудно оценить полный масштаб ботнетов из-за ротации устройств, а сами атаки L7 очень сложны в обнаружении и фильтрации.
Тем не менее, 2 марта Национальный координационный центр по компьютерным инцидентам (НКЦКИ) опубликовал список из 17,5 тыс. IP-адресов, которые, предположительно, применяются для проведения DDoS-атак на российские ресурсы. С помощью этих данных и геоблокировки можно отсечь значительную часть нелегитимного трафика.
Время перемен: стало ли меньше атак
Еще 24 марта сайт РБК опубликовал заявление основателя компании Qrator Labs Александра Лямина. По его словам, интенсивность DDoS-атак на российские компании начала снижаться примерно с 9–10 марта.
Но сохранилась ли тенденция спада интенсивности атак?
Ситуацию помогли прокомментировать сотрудники технической поддержки Selectel, которые поделились отчетами за март и апрель по DDoS-инцидентам на уровнях L3 и L4. Данные об атаках собирали платформа DDoS-Guard и комплекс защиты Selectel от DDoS-атак, который отражает DDoS на уровне сети.
DDoS-инциденты L3-L4
По полученным данным можно проследить тенденцию DDoS-атак. Для начала посмотрим на график количества DDoS-инцидентов на уровнях L3-L4.
Действительно, на вторую половину февраля приходится большая доля атак. Но пошла ли на спад их интенсивность?
Ниже изображен график только с вредоносным трафиком:
Трафик DDoS-атак в первую половину марта не превышал 250 тыс. Мбит/c. Остальной трафик система классифицировала как легитимный.
После 12 марта и до 28 апреля комплекс защиты Selectel от DDoS не регистрировала более 50 Гбит/c нелегитимного трафика. Специалисты считают, что это закономерно: длительные и мощные по объему трафика DDoS-атаки на уровнях L3-L4 – недешевая и сложная в реализации забава.
Может показаться, что, если легитимного трафика гораздо больше чем вредоносного, значит, DDoS-атак мало. Но это не так. На графиках представлена информация по разным клиентам Selectel, и на всех приходятся разные доли легитимного и нелегитимного трафика.
Продолжительность DDoS-атак
По данным DDoS-Guard, с 1 февраля по 18 мая не было атак продолжительнее 7 часов 26 минут, а 79,5% инцидентов длилось не более 8 минут.
Интересно, сокращалось ли время атак с февраля по третий квартал мая? Посмотрим на сводную таблицу за февраль-май 2022 года:
период |
максимальное время |
среднее время |
мода |
февраль |
6 часов |
13,66 мин |
1,5 минуты |
март |
7 часов 26,5 минут |
14,41 мин |
1,5 минуты |
апрель |
1 час 1 минута |
5,35 мин |
2,5 минуты |
май (до 18.05) |
1 час 4 минуты |
7,66 мин |
1,5 минуты |
Данные неоднозначны. С одной стороны, видно, что среднее время атак уменьшилось и спад начался со второй половины марта. В первой половине месяца среднее время атак составляло 17,42 мин, а во второй – 8,35 мин, то есть оно сократилось более чем в два раза.
С другой стороны, тенденция нелинейна, так как с апреля по май среднее время выросло на 2,5 минуты. Но и тут нужно учитывать моду, которая сократилась на одну минуту в сравнении с апрелем.
Нелинейная тенденция
Сложно сказать с абсолютной уверенностью, налаживается ли ситуация или нет. Нужно больше данных, в том числе и от других провайдеров. Исследователи из Qrator Labs обозначили, что для прогнозов нужно собирать данные за второй квартал и еще рано что-либо утверждать:
«Ранее мы писали о наличии устойчивой тенденции сокращения длительности атак, однако похоже, что все изменилось в первом квартале 2022 года ввиду повсеместно растущей вредоносной активности. Во втором квартале 2022 года мы увидим, сохранится ли такая обстановка».
Мы солидарны с ними в этом вопросе. Будем собирать данные и дальше!
В целом, кибератаки были, есть и будут. В прошлом много поучительного опыта, на основании которого провайдеры строят современные системы защиты от DDoS-атак.
Например, в Selectel организовали механизм автоматической нейтрализации DDoS-атак (от L3 до L7). Весь трафик проходит через нашу систему фильтрации, а клиенты получают легитимный трафик.
Надеемся, в будущем поводов для таких статей больше не появится. Будем рады вашим вопросам и мнению в комментариях.
Если вам интересна тема информационной безопасности, читайте другие наши тексты:
→ Подслушано: кибербезопасность в дата-центрах
→ Как просканировать сетевой периметр сервиса с помощью open source- инструментов
→ Ботнет Trickbot облюбовал роутеры MikroTik. Сейчас Microsoft выяснила почему