Завершаем серию статей об эволюции DDoS-атак. Сегодня расскажем, как развивались атаки и методы их проведения в нулевых — когда DDoS стали использовать для маскировки других киберпреступлений, а бизнес начал активнее внедрять облачные инструменты защиты.

23 мая на вебинаре (есть запись) мы обсудили актуальные на 2024 год тренды и угрозы в области DDoS. Вместе с экспертом компании Qrator Labs подробно поговорили о прикладных L7-атаках, способах обнаружения атак и средствах защиты.

2011–2015: камуфляж для взломщиков

В 2010-х злоумышленники стали чаще использовать DDoS-атаки в качестве «дымовой завесы» для других киберпреступлений. Так, они перегружали серверы компании-жертвы потоком «мусорного» трафика, чтобы занять специалистов восстановлением доступности сервисов и не позволить им вовремя среагировать на попытки взлома.

Одна из громких историй такого рода была связана с корпорацией Sony. В 2011 году DDoS-атаке подвергся ее сервис PlayStation Network. Пока ИБ-специалисты пытались восстановить его работу, неизвестные проникли в сетевой контур и украли персональные данные от 77 до 100 млн игроков. Сеть была отключена в течение нескольких недель. Ответственность за утечку данных взяла на себя группа хактивистов Anonymous. Компании пришлось выплатить компенсацию в 15 млн долларов. 

В 2015 году похожая история произошла с ритейлером Carphone Warehouse. Пока ИБ-инженеры пытались совладать с резко возросшей нагрузкой на фоне DDoS, хакеры украли личные и платежные данные 2,4 млн клиентов.

В то же время злоумышленники также стали активно использовать DDoS в качестве инструмента для вымогательства. В 2011 году немецкий суд впервые в истории вынес приговор киберпреступнику, который шантажировал букмекерские конторы во время чемпионата мира по футболу, проходившего в 2010 году. Хакер писал письма с требованием заплатить ему 2 тыс. евро, в противном случае обещал развернуть масштабную DDoS-кампанию. По данным букмекеров, несколько часов простоя могли обернуться для них потерей значительных сумм — от 5 до 40 тыс. евро.

Начало 2010-х также ознаменовал резкий скачок пиковой мощности DDoS-атак. В 2011 году их количество выросло на 700%, по сравнению с предыдущим годом. И уже к 2013 году объем DDoS-трафика перешагнул рекордную отметку в 100 Гбит/сек. Тогда атаке подверглась крупная финансовая платформа — на пике DDoS-трафик составлял 167 Гбит/сек. 

Сложившаяся ситуация повлияла на развитие методов защиты от DDoS. Долгое время для борьбы с вредоносным трафиком компании использовали решения on premise. Стоимость такой инфраструктуры была высока, и затраты на её содержание росли вместе с увеличением мощности кибератак. В итоге большую популярность стали набирать облачные решения. Они предлагали защиту даже от самых мощных атак и позволяли гибким образом подходить к биллингу — платить только за используемые ресурсы и сервисы.

2016: ботнет из чайников и хакеры-любители

Одним из современных этапов развития DDoS стало использование злоумышленниками устройств «интернета вещей». Да, хакеры использовали IoT для проведения DDoS-атак еще в нулевых. И в середине 2010-х такие девайсы все еще не могли похвастаться какой-либо серьезной защитой. 

К 2016 году доля устройств интернета вещей среди всех систем, подключенных к интернету, достигла 30% — и это значение продолжило увеличиваться в среднем на 8% ежегодно. С учетом быстрых темпов роста сегмента он выступил настоящим «топливом» для ботнетов. Исследователи из группы обеспечения безопасности Arbor привели в качестве примера Lizard Stresser — инструмент для DDoS-атак, созданный хакерской группой Lizard Squad. Включив устройства IoT в ботнеты, Lizard Stresser проводили атаки со скоростью до 400 Гбит/сек.

На ситуацию также повлияла доступность инструментов для построения вредоносных сетей вроде Mirai. Впервые ботнет из устройств, зараженных этим червем, использовали в сентябре 2016 года против хостинга OVH. Одна из атак отличилась мощностью в 799 Гбит/сек, превысив предыдущий мировой рекорд более чем в два раза.

Спустя всего несколько дней после инцидента злоумышленники выложили исходный код Mirai на одном из тематических форумов, чтобы запутать следы и помешать ИБ-специалистам выйти на реальных авторов проекта. За этим последовал бум атак, которые проводили уже другие хакеры с помощью тех же инструментов. В октябре неизвестные атаковали DNS-инфраструктуру провайдера Dyn. Оператор оценил убытки в 110 млн долларов.

И Mirai до сих пор занимает серьезную долю в общем объеме DDoS-атак — атака этого ботнета в 2024 году достигла 2 Тбит/сек и была нацелена на хостинг-провайдера Magic Transit. Исходный код Mirai стал основой для других ботнетов и вредоносного программного обеспечения — например, Dark Frost. Автор зловреда атаковал популярные игровые сервисы и рассказывал о своих «достижениях» в соцсетях, что привлекало других «любителей» хакерской славы. 

2020: развитие облачных инструментов

В 2020 году крупные облачные провайдеры пережили атаки рекордной мощностью 2,3 и 2,54 Тбит/сек. В первом случае использовался метод отражения по протоколу CLDAP с рекордным коэффициентом усиления — в 70 раз. Для проведения второй атаки злоумышленники активировали ботнет из более чем 180 тысяч устройств. DDoS-кампания продолжалась в течение полугода.

На фоне растущих масштабов атак, а также увеличившейся популярности удаленной работы из-за пандемии, компании стали активнее использовать облачные инструменты защиты. Часто подобный инструментарий строился на основе систем ИИ, которые оптимизировали процесс выявления угроз.

Интеллектуальные системы позволили ИБ-специалистам оперативно фильтровать «мусорный» трафик и выявлять вредоносные паттерны, сохраняя доступ к серверам для остальных пользователей. И действительно, тогда многие крупные облачные провайдеры анонсировали собственные системы защиты от DDoS — например, WAF-as-a-service. Уже в 2020 году с помощью такой платформы на базе машинного обучения удалось отразить атаку мощностью 2,5 Тбит/сек.

Наши дни: новые мощности, старые методы

Одним из главных открытий последних лет стал ботнет Mēris. К 2021 году неизвестный создал сеть из сотен тысяч маршрутизаторов MikroTik. Владельцам Mēris удалось провести атаку на уровне L7 с 21,8 млн запросов в секунду. По мнению аналитиков, автор собирал ботнет ещё с 2018 года. Для «захвата» устройств он использовал перебор паролей по SSH и старую уязвимость в ПО MikroTik. 

На уровне приложений оперировали и другие ботнеты: сеть Mantis в ходе одной из кампаний в июле 2022 года сгенерировала сразу 26 млн запросов в секунду. Это значение на тот момент оказалось рекордным для атак по HTTPS. При этом в составе ботнета находилось всего 5 тыс. устройств, хотя среди них и были взломанные корпоративные серверы. Впрочем, рекорд продержался недолго, ведь уже в августе того же года вновь напомнил о себе ботнет Mēris. На этот раз его целью стал Google, который подвергся атаке на 46 млн запросов в секунду.

Последние рекорды по продолжительности и мощности DDoS были зафиксированы в 2023 году: 72 часа и 398 млн запросов в секунду соответственно (против 70 часов и 46 млн запросов в 2022 году). Ну а в первом квартале 2024-го количество атак по сравнению с аналогичным периодом годом ранее выросло на 93%.

Продолжилась и одна из главных тенденций прошедшего десятилетия. Злоумышленники стали чаще использовать DDoS в качестве средства шантажа — количество таких атак выросло почти на треть в период с 2020 по 2021 год. Эксперты связывают это в том числе с падением стоимости атак. Организовать продолжительный DDoS еще в 2022 году можно было за 100 долларов, хотя даже минута простоя для бизнеса часто обходится в куда большие суммы. 

Впрочем, развиваться сегодня продолжают и инструменты облачной защиты. Ими занимаются как специализированные компании, так и облачные провайдеры. В рамках своих систем они фильтруют трафик и дают пользователям рекомендации по настройке защиты от DDoS на разных уровнях. Например, существуют отдельные сервисы для блокировки атак на уровне L7. Они контролируют доступ к ресурсам приложения и поведение пользователей. Например, если с одних IP-адресов или регионов поступает слишком много запросов, для них установят ограничения на количество подключений.

Существуют и решения для защиты от атак и уязвимостей в веб‑приложениях (WAF). Они защищают API-интерфейсы, включая REST, SOAP, gRPC, GraphQL и веб-сокеты. Такие сервисы также могут блокировать действия, связанные с подменой контента. Наконец, существуют отдельные инструменты формата Antibot. Они помогают сократить количество запросов, которые идут на WAF, и установить число реальных пользователей и ботов.

Узнать подробнее о том, как работает облачная защита от MWS при DDoS на уровне L7 и в веб-приложениях, можно на нашем онлайн-вебинаре. Смотрите запись.