Ранее мы уже отмечали тенденцию роста общего количества и мощности кибератак — злоумышленники активно пользуются особенностями протоколов, известными уязвимостями и находят новые. Обсудим, стабилизировалась ли ситуация, какие приёмы все еще применяют злоумышленники сейчас, и как дорого обходятся DDoS-атаки.

Становятся мощнее

Формально первая DoS-атака произошла более 50 лет назад, когда 13-летний подросток смог «положить» тридцать один терминал Университета Иллинойса. С тех пор вмешательства в сетевую инфраструктуру быстро переросли из спонтанных шуток в изощренные киберпреступления против различных организаций. В 90-е злоумышленники уже проводили полноценные DoS-атаки на инфраструктуру интернет-провайдеров, а также приступили к DDoS-атакам на государственные организации.

С тех пор частота и интенсивность кибератак только возрастала. Если 15 лет назад их пиковая мощность была на уровне 100 Гбит/сек, то сегодня она доходит до 4,2 Тбит/сек. Причём длительность таких атак может составлять всего несколько секунд. Например, в отчете Cloudflare речь идет о сотнях подобных сверхмасштабных атак в рамках года. В среднем это — DDoS с мощностью более 3 Тбит/сек и 2 млрд пакетов в секунду. Кстати, по данным аналитиков облачной платформы Fastly, от ноября к декабрю 2024 года рост объема DDoS-атак превысил несколько сотен процентов, а пиковые значения атак такого типа обычно приходились на первую половину рабочей недели.

Остаются верны «традициям»

Злоумышленники хоть и постепенно внедряют в работу новые методы и системы ИИ, но в основном они полагаются на «классику» — средства и уязвимости, которые известны не первый год, а в некоторых случаях — не первый десяток лет. Так, одним из основных инструментов для проведения DDoS-атак, конечно же, остаются ботнеты.

И мощность зараженных сетей продолжает увеличиваться. Например, согласно исследованию, проведенному поставщиком услуг информационной безопасности StromWall, в третьем квартале прошлого года наблюдался резкий рост активности ботнетов в африканском регионе и на Ближнем Востоке. Мощнейшие DDoS-атаки, зафиксированные специалистами (они произошли в ОАЭ), имели поток в 1,5 Тбит/сек. Увеличился и средний размер ботнета — до 28 тысяч устройств. Для сравнения, в 2023 году эта цифра едва ли превышала 7 тыс.

При этом ботнеты продолжают эксплуатировать известные слабые места в инфраструктуре онлайн-сервисов. Один из ботнетов — Mozi — использует уязвимости в ряде популярных роутеров и устройств интернета вещей, организуя с их помощью DDoS-атаки. Так, одна из эксплуатируемых уязвимостей (CVE-2023-1389) позволяет проводить инъекции команд без аутентификации. Примечательно, что в какой-то момент времени ботнет даже генерировал большую часть всего IoT-трафика.

Примером другого эксплойта, который подходит к категории «старых» уязвимостей, можно быть атака DNSBomb. Она основана на методе DDoS через TCP-пульсации, который был раскрыт в научной работе 2003 года. Суть заключается в отправке на сервер жертвы повторяющихся серий кратковременных импульсов с огромным трафиком. Даже в небольших масштабах интенсивность атаки может достигать десятков Гбит/сек. В то же время метод пульсации потенциально применим и к CDN для генерации DoS-трафика.

Однако перед злоумышленниками открываются и новые «возможности» — специалисты по информационной безопасности регулярно находят уязвимости. В прошлом году эксперты немецкого Центра информационной безопасности имени Гельмгольца (CISPA) отметили метод, который назвали Loop DoS. Идея состоит в запуске бесконечной петли запросов между приложениями, подверженными уязвимости в протоколе UDP. В теории атаку можно инициировать единственным сообщением от одного хоста. По оценкам экспертов, эксплойт затрагивает порядка 300 тыс. устройств по всему миру, хотя об успешной реализации атаки такого типа на практике пока ничего не слышно.

Наносят все более масштабный ущерб

Старые методы и новые технологии позволяют наносить все более серьёзный ущерб. Например, в январе крупнейший японский оператор связи NTT Docomo столкнулся с массовой DDoS-атакой, которая затронула порядка 90 млн пользователей и вывела из строя большую часть сервисов на двенадцать часов. Эксперты связывают эту атаку с другой, произошедшей в сентябре 2023 года (есть мнение, что NTT Docomo шантажирует команда хакеров-вымогателей). Также от подобных атак пострадали крупные финансовые организации страны — Банк Мидзухо и холдинговая компания Resona Holdings. Во время кибератак у них не работали услуги онлайн-банкинга, приложения и сайты.

Оценить ущерб от подобных атак, как правило, невероятно сложно. Нужно учитывать не только прямой финансовый урон, но и репутационные издержки, эффект от которых может быть отложенным. Но можно взглянуть на усредненные цифры, которые приводят аналитики. Согласно оценкам компании MazeBolt, одна атака типа «отказ в обслуживании» обходится крупному бизнесу в полмиллиона долларов.

Другая ИБ-компания — Zayo — в своем исследовании приводит иные, но сопоставимые цифры. Специалисты проанализировали 62 тыс. DDoS-инцидентов, с которыми столкнулись компании (выборка покрывала четырнадцать индустрий) из Северной Америки и Европы в первой половине прошлого года. Оказалось, что в среднем бизнес теряет 270 тыс. долларов за 45-минутную DDoS-атаку. Иными словами, каждая минута обходится организации примерно в 6 тыс. долларов. Однако стоит заметить, что 86% всех вредоносных вмешательств составляли кибератаки длительностью меньше десяти минут.

Учитывая скорость развития технологий, распространения цифровых сервисов и повсеместной диджитализации производств, можно с уверенностью сказать, что размер ущерба, которые способны нанести DDoS-атаки, будет только увеличиваться. Также сами цели атак становятся более разнообразными. В 2024 году киберпреступники атаковали даже некоммерческие и исследовательские организации. В апреле DDoS-атаке мощностью в 3,5 млн запросов в час подвергся сайт ЦЕРН. С похожей угрозой столкнулся проект Internet Archive, который подвергался DDoS-воздействию около недели.

Что почитать по теме

• Что такое IDS — система обнаружения вторжений. Рассказываем о комплексах мер по борьбе с уязвимостями и взломами. Рассматриваем методы выявления на основе машинного обучения, сигнатур. Объясняем, как работают системы NIDS и HIDS.

• Сетевые технологии с нуля [или почти с нуля] — наша подборка общедоступных книг по теме. Основная часть литературы обладает минимальным порогом вхождения и призвана помочь с погружением в сферу начинающим специалистам.

• Подборка открытых ресурсов с информацией о выявленных уязвимостях. Это — наш обзор актуальных ресурсов и баз, посвященных различным эксплойтам. Среди них общепризнанный CVE и дополнительные базы на его основе NVD, OpenCVE и др.

• В копилку уязвимостей BGP — как устроена атака Kirin. За годы существования протокола BGP в нем обнаружили немало уязвимостей. И продолжают находить новые. Рассказываем про эксплойт, который позволяет осуществлять DDoS-атаки на маршрутизаторы. Кстати, некоторые специалисты призывают пересмотреть интернет-архитектуру и заменить BGP новыми решениями — рассказываем и о них.

• Руководство по FOSS — про CLI, приватность, безопасность и self-хостинг. Это — онлайн-гайд, посвящённый безопасности в Linux, работе с шифрованием, подписями и методологиями, в целом направленными на Linux Hardening. Руководство наполнено сравнениями различных решений и технологий. К примеру, автор описывает плюсы и минусы методов мультифакторной аутентификации.

• Исследования: QUIC может быть медленнее, чем ожидалось. Специалисты утверждают, что в ряде кейсов QUIC менее эффективен по сравнению с «классическим» TCP. В статье обсуждаем различные точки зрения и научные работы: как в поддержку этого утверждения, так и против.