2024/12/05 14:13:56

Distributed Denial-of-Service, DDoS
Отказ от обслуживания

Поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который "забивается" огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс. Такие действия используются в целях конкурентной борьбы, прямого шантажа компаний, а также для отвлечения внимания системных администраторов от иных противоправных действий.

Содержание

Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Атаки DoS и DDoS часто встречаются в мире интернет-безопасности. Во-первых, они не направлены на уязвимости, которые могут быть исправлены; во-вторых, каждый отдельный пакет является вполне легитимным — лишь их совокупность приводит к разрушительным последствиям, и, в-третьих, такие атаки носят продолжительный характер – они длятся несколько часов или дней, вместо нескольких секунд или минут.

В течение многих лет атакам DoS и DDoS не уделяли должного внимания, поскольку они считались нишевыми. Ситуация резко изменилась в 2011 году, когда группа Anonymous выбрала DoS/DDoS-атаки в качестве основного метода нападения. Воодушевленная мощностью и разрушительными последствиями такой атаки, группа Anonymous превратила ее в основной метод борьбы, привлекая к нему внимание не только сообщества специалистов по безопасности, но и широкой публики. Несмотря на то, что активность группы снизилась в 2012 году, она заложила основу для дальнейшего развития данного типа атак. Многие группы хакеров начали использовать DoS/DDoS – хактивисты, финансово мотивированные преступные организаций и даже правительственные структуры заинтересовались открывающимися возможностями.

Виды DDoS-атак

  • Ошибки в программном коде, для эксплуатации которых применяются специальные эксплойты – программы, или фрагменты кода, использующие уязвимости в ПО, в ходе атаки. WinNuke и Ping of death – примеры эксплойтов, неспособных установить контроль над системой врага, но успешно осуществляющих ddos-атаку.
  • «Недопроверка» пользовательских данных - приводит к повышенному длительному потреблению ресурсов процессора, либо к выделению большого объёма оперативной памяти (вплоть до исчерпания процессорных ресурсов и доступной памяти).
  • Флуд (от англ. flood —«переполнение») — большое количество бессистемных и бессмысленных вопросов к системе с целью вывести ее из строя (причины - исчерпания ресурсов системы: памяти, процессора или каналов связи).
  • Атака второго рода — вызывает ложное срабатывание системы защиты и приводит к недоступности ресурса.

По прогнозам аналитиков Gartner, в 2013 году до 25% распределенных атак с отказом в обслуживании будет нацелено на конкретные приложения. С помощью целевых DDoS-атак и социальной инженерии мошенники пытаются проникнуть в банковские системы, предупреждают аналитики.TAdviser Security 100: Крупнейшие ИБ-компании в России 58.3 т

Первые подобные атаки против банков были отмечены в США во второй половине 2012 года. Через каналы Интернет на банковские сайты иногда направлялось в секунду до 70 гигабит шумового трафика. До сих пор большинство атак на уровне сети поглощало не более пяти гигабит в секунду. Переход на уровень приложений и повышение интенсивности атак приводило к полной невозможности использования сайтов.

Но основной задачей DDoS-атак, по мнению аналитиков, является отвлечение внимания служб безопасности банков. В отчете Gartner приводятся примеры того, как мошенники входят в доверие к клиентам банков, представляясь сотрудниками полиции или служащими банка, которым поручено помочь клиенту перейти на новый счет.

Аналитики рекомендуют внедрение многоуровневых технологий защиты от DDoS-атак, предотвращения мошенничества и удостоверения личности.

Теоретические основы

Тенденции развития инструментов атаки

DDoS – «Сделай сам»

Инструменты для организации DDoS-атак превратилась в предмет торговли. Конечно, их еще нельзя найти в свободной продаже в интернет-магазинах, но на нелегальных сайтах можно найти огромное количество различных вариантов – пакеты инструментов DDoS, прайс-листы и даже услуги организации DDoS-атак. Доступность таких DDoS пакетов снизила требования к организации сетевых атак и атак на приложения. Любой желающий, от частных лиц до криминальных киберорганизаций, может легко настроить ботнет для запуска атаки.

Пакеты инструментов для DDoS-атак

Пакеты инструментов, для использования которых не требуется писать код или быть опытным хакером, позволяют новичкам легко настроить ботнет. Пакет инструментов для DDoS-атак представляют собой пакет ПО, состоящего из двух компонентов - конструктора ботов и сервера управления.

  • Bot Builder - инструмент для пошагового создания ботов с графическим интерфейсом, который позволяет атакующему создать исполняемый файл (бот), распространяемый на компьютеры, которые будут являться частью ботнета. Созданный бот содержит адрес сервера управления, с которым он может обмениваться данными.
  • Центр управления (Command and Control, C&C) - представляет собой страницу администратора, которая используется злоумышленником для отслеживания состояния ботов и отправления команд.

Сразу после установки C&C и подготовки исполняемого бота, злоумышленник должен передать бот как можно большему количеству других компьютеров, которые станут частью ботнета, используя общедоступные методы, такие как социальная инженерия и атаки для попутной загрузки, когда веб-браузер, будь это Internet Explorer или Chrome, используется для того, чтобы обманным образом побудить пользователя загрузить и запустить вредоносное ПО. Как только армия ботов достигает нужных размеров, можно запускать атаку.

Как любые профессиональные разработчики ПО, разработчики инструментов для DDoS-атак совершенствуют свои продукты и выпускают новые версии, которые затем публикуются и продаются. В мире нелегального ПО большинство таких пакетов представляют собой версии других ботов, исполняемые файлы и/или исходный код которых был изменен и переименован. Группа инструментов, произведенных от общего источника, обычно называется «семейством».

DDoS-атаки на заказ

Распространенность DDoS-программ способствовала также появлению услуг заказных DDoS-атак. Преступные киберорганизации пользуются простотой применения пакетов для DDoS, чтобы на различных нелегальных форумах предлагать услуги выполнения таких атак.

Типичный «бизнес-сценарий» заказа DDoS-атаки может включать такие предложения, как «вывести из строя веб-сайт конкурентов» или, наоборот, применить вымогательство типа «заплатите нам за то, чтобы мы не выводили из строя ваш сайт».

Опасности IoT-устройств

  • Университет Твенте, Нидерланды: В 2012 году произведено 9 млрд IoT устройств и ожидается, что в 2020 году их будет не менее 24 млрд
  • Согласно оценкам Cisco, процент интернет-трафика, генерируемого устройствами, не являющимися персональными компьютерами, увеличится почти 70% до 70% к 2019 г.
  • IoT-устройства, скомпрометированные вредоносными программами, могут стать платформой для нежелательного трафика
  • Вычислительные мощности IoT-устройств (домашних роутеров) превышают профильные требования к данным устройствам
  • Используя среднюю скорость соединения 15,85 Мбит/с (данные операторов связи), для генерирования DDOS-атаки шириной 586 Гб/с требуется приблизительно 37 890 устройств

Ширина DDoS-атаки при учете сетевой активности 24 млрд IoT-устройств (Тб/с)

TCP Middlebox Reflection - усиление атак в 65 раз

Основная статья: TCP Middlebox Reflection

На что нацелена DDos-атака

Чтобы эффективно защититься от ddos-атак, необходимо разграничивать потенциальные опасности. В зависимости от объекта атаки:

  • Ресурсоемкие пакеты с поддельными адресами «забивают» каналы связи, что усложняет или блокирует доступ на сайт легитимных пользователей. Широкая пропускная способность каналов связи поможет защититься от атак этого типа.
  • Если атаке подвергаются ресурсы системы, то ее производительность снижается, в результате чего система работает медленно или зависает. Атакующим прекрасно известно, какие пакеты данных нужно отправить компьютеру-жертве для загрузки.
  • Уязвимости ПО использует разрушающая атака, которая может изменить конфигурацию и параметры системы. Любые несанкционированные изменения должны отслеживаться и устраняться. Свой скрипт защиты от ddos применятеся в каждом отдельном случае.

Лаборатория Касперского, 2014

Уязвимыми элементами являются сервер, межсетевой экран и канал интернет

  • Серверы являются уязвимыми по той простой причине, что злоумышленники часто организуют свои атаки таким образом, чтобы они потребляли больше ресурсов, чем те, которыми обладает сервер.
  • Интернет-канал становится уязвимым для атак, которые нацелены на истощение пропускной способности, и называются «объемный флуд». К таким атакам относятся UDP-флуд или TCP-флуд, потребляющие много пропускной способности канала.
  • Несмотря на то, что межсетевой экран является инструментом обеспечения безопасности и не должен служить уязвимым местом для DoS/DDoS-атаки, во время проведения таких атак, как SYN-флуд, UDP-флуд и переполнение соединения, злоумышленники могут генерировать многие состояния, что истощают ресурсы межсетевого экрана до тех пор, пока он сам не становится слабым местом инфраструктуры

Атаки на CDN

Атака на сайт

Цель одна – «подвесить» систему, вывести Ваш сайт из строя. Конкуренты на рынке разбираются друг с другом с помощью профессиональных хакеров. Существует даже так называемый ddos-бизнес. Защита от ddos-атак в таких условиях просто необходима. В свое время ddos-атакам подвергались, например, сайт газеты «Коммерсантъ», радиостанции «Эхо Москвы» и даже сайт Кремля, также часто жертвами становятся сайты банков и интернет-магазины. В зависимости от сезона атакуются разные сайты.

Обычной практикой становится превентивная защита от DDoS-атак. Как сообщают наши эксперты, многие компании, сталкивавшиеся в прошлом с атаками, встают на защиту от кибератак еще за месяц до начала "высокого" для своего бизнеса сезона.

Защита должна быть активирована на всех уровнях:

  • Провайдер может предоставить базовую защиту. Также мы советуем приобретать хостинг с защитой от ddos. Это многоуровневая система, которая защитит Ваш сайт от атаки.
  • Защититься от ddos-атак на уровне сети поможет межсетевой экран и файрвол. При ddos-атаке на сервер это поможет распознать угрозу и выиграть время для защиты, а небольшая атака может быть остановлена и этими средствами.
  • Важно использовать актуальное оборудование, что поможет защититься от ddos на уровне hardware. Также необходимо следить за тем, чтобы программное обеспечение не имело ошибок и уязвимостей.

DDoS-атаки в России

DDoS-атаки в медицине

Основная статья: DDoS-атаки в медицине

Защита от DDoS-атак

Основная статья: Защита от DDoS-атак

Destruction of Service, DeOS (прерывание обслуживания)

Основная статья: Destruction of Service, DeOS (прерывание обслуживания)

2024: Выпуск на рынок южнокорейской компанией 240 тыс. спутниковых ресиверов со встроенными инструментами для DDoS-атак. Гендиректор арестован

В начале декабря 2024 года южнокорейская полиция арестовала генерального директора и пятерых сотрудников неизвестной компании за изготовление более 240 000 спутниковых ресиверов с инструментами DDoS-атак, предустановленными по просьбе покупателя.

Имена компаний не называются, но известно, что они сотрудничали с 2017 года. В ноябре 2018 года компания-покупатель сделала специальный запрос на включение инструментов DDoS, и южнокорейский производитель согласился его выполнить. Предполагается, что данные инструменты использовались для противодействия атакам конкурирующей организации. Точный способ использования инструментов DDoS, встроенных в ресиверы, не уточняется, однако эти атаки в любом случае считаются незаконными. Кроме того, пользователи этих ресиверов невольно стали соучастниками атак и могли столкнуться со снижением производительности устройств во время этих инцидентов.

Южнокорейская компания выпустила на рынок 240 тыс. спутниковых ресиверов со встроенными инструментами для DDoS-атак. Гендиректор арестован

С января 2019 года по сентябрь 2024 года производитель устройств отгрузил 240 000 спутниковых ресиверов, 98 000 из которых имели предустановленный модуль DDoS. На остальные ресиверы инструменты DDoS были установлены в ходе более позднего обновления прошивки. Корейская полиция нашла преступников на основании разведданных Интерпола. Один из подозреваемых уже был объявлен в международный розыск.

Шестерым арестованным в Корее лицам предъявлены обвинения, связанные с нарушением Закона о защите информации. Суд также одобрил арест активов компании и конфискацию 61 млрд корейских вон ($4,35 млн) — суммы, которую фирма, по оценкам, получила от продажи спутниковых ресиверов с вредоносным ПО. Операторы компании-покупателя до сих пор на свободе, и корейская полиция готова сотрудничать с Интерполом, чтобы задержать этих лиц.[1]

2023

Крупнейшие DDoS-атаки на Google и Amazon длятся уже 1,5 месяца

10 октября 2023 года компании Amazon, Cloudflare и Google (входит в состав холдинга Alphabet) сообщили о самой мощной в истории DDoS-атаке на свои сервисы. Специалисты по вопросам информационной безопасности говорят, что столь масштабные нападения могут нанести серьезный урон интернет-инфраструктуре. Подробнее здесь.

Число многовекторных атак в мире в первом полугодии выросло год к году на 117%

Многовекторные DDoS-атаки набирают обороты по всему миру. Об этом 24 августа 2023 года сообщила компания Сторм системс (StormWall).

Хакеры все активнее используют этот вид атак для нанесения вреда компаниям в разных странах. Эксперты компании StormWall провели анализ многовекторных DDoS-атак в мире по итогам I полугодия 2023 года и изучили их масштаб, последствия и степень распространенности. По данным аналитиков компании на август 2023 года количество многовекторных атак на глобальном уровне в I полугодии 2023 года выросло на 117% по сравнению с аналогичным периодом 2022 года. Для анализа были использованы данные клиентов StormWall.

Больше всего многовекторных атак в мире было запущено на финансовую сферу (28% от общего числа), на ритейл (21% от общего числа) и на государственный сектор (16% от общего объема киберинцидентов). Также многовекторные атаки использовались хакерами для нанесения ущерба телеком-сфере (14%), сфере развлечений (9%), транспортной отрасли (6%) и сфере здравоохранения (4%). Атаки на другие отрасли составили 2% от общего числа.

В России ситуация тоже вызывает большие опасения. По данным аналитиков StormWall общее число многовекторных атак на российские компании в I полугодии 2023 года выросло на 136% по сравнению с аналогичным периодом 2022 года. Самое больше количество многовекторных атак было направлено на финансовую сферу (36% от общего числа), на втором месте телеком-сфера (25% от общего числа), на третьем месте ритейл (14% от общего числа). Подобные атаки на государственный сектор составили 8%, на сферу развлечений - 7%, на энергетический сектор - 5% и на нефтяную сферу - 4%, другие отрасли 1% от общего числа киберинцидентов.

Многовекторные DDoS-атаки направлены на несколько разных сетевых уровней и элементов инфраструктуры организации. Хакеры одновременно запускают атаки на сайт, сеть и инфраструктуру организаций, чтобы добиться максимально возможного разрушительного эффекта. Такие атаки невероятно опасны для организаций и несут огромные финансовые и репутационные риски.

Специалисты StormWall считают, что в данный момент многовекторные атаки являются одной из самых серьезных угроз для бизнеса. Несмотря на небольшую мощность атак, они способны причинить огромный ущерб компаниям за счет своего широкого воздействия на различные ресурсы компании. Поскольку многие организации пока не способны отражать такие сложные атаки своими силами, хакеры будут продолжать активно их применять, что приведет к дальнейшему росту подобных киберинцидентов во всем мире.

«DDoСя»: На госучреждения Украины и стран НАТО обрушились мощные кибератаки

На государственные учреждения Украины и ряда стран НАТО в рамках кампании DDoSia («DDoСя») обрушились мощные кибератаки. В общей сложности пострадали почти 500 ресурсов, о чём говорится в исследовании компании Sekoia, результаты которого были обнародованы 29 июня 2023 года. Подробнее здесь.

В Польше арестованы владельцы сервиса DDoS-атак по подписке, который работает уже 10 лет

В середине июня 2023 года польские полицейские из Центрального бюро по борьбе с киберпреступностью задержали двух подозреваемых в причастности к организации деятельности бизнеса DDoS-атак по подписке. Сервис активно развивался по меньшей мере с 2013 года.

Аресты является частью координированной международной операции Operation PowerOFF, направленной на пресечение деятельности онлайн-платформ, позволяющих любому желающему запустить массовую DDoS-атаку против любой цели по всему миру за определенную плату DDoS-for-hire.

Польские полицейские задержали двух подозреваемых в причастности к организации деятельности бизнеса DDoS-атак по подписке

DDoS-for-hire являются платными сервисами, предоставляющие услуги по DDoS. Такие сайты генерируют массовые http-запросы к целевому веб проекту или сервису, которые перегружают сервер и отключают его на неопределенное время.

Операция проводилась в координации с Европолом, ФБР и правоохранительными органами Нидерландов, Германии и Бельгии под руководством Объединенной целевой группы по борьбе с киберпреступностью.

Сотрудники польского Центрального бюро по борьбе с киберпреступностью арестовали двух человек и провели десять обысков, которые помогли собрать ценные данные с сервера преступников, расположенного в Швейцарии. Польская полиция также обнаружила существенные доказательства функционирования и управления криминальным доменом на компьютере, принадлежащем одному из подозреваемых.

Улики, собранные с серверов подозреваемых, выявили информацию о более чем 35 тыс. учетных записей пользователей, 76 тыс. записей входа в систему и более 320 тыс. уникальных IP-адресов, связанных с сервисом DDoS-for-hire. Кроме того, полицейские обнаружили 11 тыс. записей о приобретенных планах атак с соответствующими электронными адресами покупателей услуг, которые заплатили около $400 тыс., и более 1 тыс. записей о планах атак стоимостью около $44 тыс.[2]

Зарегистрирована мощнейшая DDoS-атака в истории - 71 млн запросов в секунду

В середине февраля 2023 года компания Cloudflare заявила о том, что отразила рекордную DDoS-атаку - мощностью более 71 млн запросов в секунду.

По данным из официального сайта Cloudflare, 11-12 февраля 2023 года компания обнаружила и смягчила десятки сверхобъемных DDoS-атак. Большинство атак достигли пика в 50-70 млн запросов в секунду, при этом самая крупная превысила 71 млн. Это крупнейшая зарегистрированна DDoS-атака за всю историю, отметили в компании.

При этом DDoS-атака более чем на 35% превысила предыдущий зарегистрированный рекорд в 46 млн запросов в секунду, которая состоялась в июне 2022 года. Атаки были основаны на HTTP/2 и были нацелены на веб-сайты, защищенные компанией Cloudflare. Хакерская атака на вычислительную систему исходила с более чем 30 тыс. IP-адресов.

В середине февраля 2023 года компания Cloudflare заявила о том, что отразила рекордную DDoS-атаку

В компании Cloudflare заявили, что был атакован популярный игровой провайдера, криптовалютные компании, хостинг-провайдеры и платформы облачных вычислений. Атаки в середине февраля 2023 года исходили от многочисленных облачных провайдеров. По мнению специалистов по ИБ из Cloudflare, достаточно большой и мощный ботнет может генерировать очень масштабные атаки, но разработка и эксплуатация ботнетов требует больших инвестиций и опыта.

В компании отмечают, что за последние месяцы начиная с ноября 2022 года масштабы, изощренность и частота атак увеличивались. Количество объемных атак, превышающих 100 Гбит/с, увеличилось на 67% по сравнению с предыдущим кварталом, а количество атак продолжительностью более трех часов увеличилось на 87%.

По данным Ассоциации индустрии вычислительных технологий (CompTIA), объемные атаки на самом деле являются наименее распространенной формой DDoS, их число гораздо меньше, чем атак на уровне приложений и протоколов. Услуги DDoS-наемников позволяют субъектам угроз относительно легко проводить атаки, и, как сообщили в Cloudflare, чем больше платит заказчик, тем более масштабную и продолжительную атаку на цель он получит.[3]

Россия заняла 4-е место в мире по числу DDoS-атак на госорганы и компании

Россия по итогам 2022 заняла 4-е место в мире по числу DDoS-атак на госорганы и компании. Об этом свидетельствуют обнародованные 17 января 2023 года данные компании StormWall, работающей в сфере кибербезопасности.

Согласно исследованию, странами-лидерами по количеству DDoS-атак в 2022 году были Китай и Индия. Доля РФ в общем объеме таких кибернападений - 8,4%.

РФ заняла 4-е место в мире по числу DDoS-атак

В StormWall проанализировали показатели атак на различные индустрии в 2022 году и определили, что большинство DDoS-атак в мире было направлено на финансовую отрасль (28% от общего числа атак), телекоммуникационную сферу (18%), госсектор (14%) и ритейл (12%). Кроме того, злоумышленники организовали много DDoS-атак на развлекательную сферу (10%) и сферу страхования (7%).

Отмечается, что число DDoS-атак на финансовый сектор выросло в 18 раз, на телеком-сферу — в 12 раз, на госсектор — в 25 раз, на ритейл — в 8 раз. Также был зафиксирован значительный рост атак на другие индустрии: число атак на развлекательную сферу выросло в 4 раза, на сферу страхования в 12 раз, на СМИ — в 30 раз, на сферу образования — в 2 раза и на логистическую отрасль — в 4 раза.

Большинство атак в 2022 году осуществлялось по протоколу HTTP/HTTPS (78%). На втором месте находятся атаки по протоколу TCP/UDP (16%), атаки по протоколу DNS составили 2%, остальные атаки 4%. Максимальная мощность достигала 2 Тбит/с или 1 млн. запросов в секунду благодаря использованию ботнетов для организации атак. Важной особенностью 2022 года стало увеличение продолжительности атак: в 2021 году атаки длились в среднем 4 часа, а в 2022 году атаки продолжались в среднем уже 8 часов.

По мнению экспертов, число кибератак на другие отрасли также будет планомерно расти, при этом DDoS-атаки будут чаще использоваться для маскировки других целевых атак для нарушения работоспособности систем и кражи персональных данных. При этом в данный момент нет причин прогнозировать существенный рост атак на другие индустрии, поскольку атаки политически мотивированных активистов к концу 2022 года практически прекратились.

Специалисты ожидают роста числа киберинцидентов до 300% на нефтегазовый сектор и энергетическую отрасль в феврале и марте 2023 года в связи с огромным влиянием этих индустрий на текущую политическую ситуацию в мире. [4]

В Дании хакеры вывели из строя сайты ЦБ и семи банков

10 января 2023 года стало известно о том, что злоумышленники нарушили работу веб-сайтов центрального банка Дании и семи частных банков страны. Подробнее здесь.

2022

Число DDoS-атак в мире взлетело на 115%

В 2022 году количество DDoS-атак в глобальном масштабе увеличилось на 115,1% по сравнению с 2021-м. Такие данные приводятся в исследовании компании Nexusguard, результаты которого были опубликованы 27 июня 2023-го.

Авторы отчёта отмечают, что в 2022-м киберпреступники продолжали изменять свои тактики, нацеливаясь на платформы приложений, онлайновые базы данных и облачные системы хранения информации. Из-за этого пострадали многие компании, поскольку на фоне цифровой трансформации ключевые рабочие нагрузки перемещаются в облако.

Количество DDoS-атак в глобальном масштабе увеличилось на 115,1%

Несмотря на то, что общее число DDoS-атак в годовом исчислении выросло более чем в два раза, их максимальная мощность значительно сократилась: результат по итогам 2022 года составил 361,9 Гбит/с, что на 48,2% меньше по сравнению с предыдущим годом. Среднее значение при этом уменьшилось на 22,4%.

«
Киберпреступники продолжают нацеливаться на критически важную инфраструктуру поставщиков услуг связи, особенно интернет-провайдеров. Это приводит к далеко идущим последствиям, поскольку организации, полагающиеся на этих провайдеров, также подвергаются негативному воздействию, — отметил Джуниман Касман (Juniman Kasman), технический директор Nexusguard.
»

Исследование показало, что в 2022-м большинство DDoS-угроз — приблизительно 85,6% — представляли собой одновекторные атаки. Примерно такой же результат был зафиксирован в 2021 году. На UDP-атаки и TCP-нападения пришлось соответственно 72,5% и 23% от общего количества угроз. При этом число UDP-атак по сравнению с 2021 годом взлетело на 121,3%. Отмечается, что в области TCP также наблюдается значительный рост киберпреступной активности, но конкретные цифры не называются. Злоумышленники берут на вооружение искусственный интеллект и машинное обучение для прогнозирования эффективности своих кампаний.[5]

Общее число DDoS-атак в мире за год выросло более чем на 73%

27 января 2023 года компания Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представила статистику DDoS-атак и BGP-инцидентов в 2022 году.

По информации компании, 2022 год стал не просто рекордным, а беспрецедентным по количеству DDoS-атак и их интенсивности. Минимальные показатели последних десяти месяцев прошедшего года были на порядок выше пиковых значений в дофевральский период.

«
В начале 2022 года большинство атак было базового уровня, и только в 4 квартале вместе с ростом DDoS-активности мы стали наблюдать увеличение сложности нападений. В определенный момент базовые атаки перестали быть результативными: индустрия научилась с ними бороться, и злоумышленники начали эскалацию сложности, чтобы добиться результата.

рассказал Александр Лямин, основатель Qrator Labs
»

Количество IP-адресов, задействованных в злонамеренной активности в 2022 году

По сравнению с 2021 годом, в 2022 году общее количество атак выросло на 73.09%. Самыми атакуемыми секторами оказались СМИ (18,5%), банки (9,9%) и платежные системы (13%).

«
Банки и платежные системы – это самый прибыльный сектор с точки зрения организации атак, а средства массовой информации всегда находятся на острие атаки, когда происходят любые социально-политические конфликты в обществе.

отметил Александр Лямин
»

Количество DDoS-атак по индустриям в 2022 году

Наибольшее число атак пришлось на первый квартал 2022 года – 43,2%, во втором и третьем квартале количество нападений стало снижаться – 23,3% и 20,5% соответственно. В четвертом квартале было зафиксировано 13,11% атак.

Поквартальное распределение количества DDoS-атак в 2022 году

Длительность DDoS-атак возросла в десятки раз за 2022 год, по сравнению с 2021. Так, если в первом квартале 2021 года максимальная продолжительность нападений составляла 10 часов, то в аналогичном периоде 2022 года этот показатель был равен 10 с половиной суткам. Помимо увеличения интенсивности атак, начиная с 4 квартала 2022 года, наблюдается рост сложности и изощренности нападений.

Максимальная длительность DDoS-атак в 2021-2022гг.
«
Если ранее атакующие стремились оптимизировать время использования ботнетов, то, начиная с 2022 года, им стали доступны ресурсы, позволяющие продолжать атаку неделями напролёт. Количественный пик атак определённо уже пройден: массовые незатейливые атаки, которые многие ресурсы быстро «валили с ног», свое отработали. Теперь в соревновании брони и снаряда ожидается следующий этап: вместо массовости, перед злоумышленниками стоит задача обеспечения результативности. Будет расти изощренность нападений, и методы их нейтрализации, которые были эффективными еще вчера, завтра с большой вероятностью работать не будут. Количество атак начнет падать, а их сложность будет расти. В 2023 году мы ожидаем усиление атак уровня приложений (Application Layer) – это изощренные атаки, трафик которых мимикрирует под поведение обычных пользователей. Подобные нападения чрезвычайно трудно выявлять и нейтрализовывать.

прокомментировал Александр Лямин
»

В 2022 году число автономных систем (АС), затронутых перехватами трафика, сократилось почти в 2 раза – c 4778 в 2021 году до 2576 в 2022-м.

Количество уникальных автономных систем РФ, анонсировавших чужие подсети 2019-2022 гг.

Количество российских автономных систем, которые анонсировали чужие подсети, то есть перехватывали трафик, также уменьшилось с 871 АС в 2021 году до 649 в 2022-м.

Количество автономных систем РФ, затронутых другими перехватами трафика 2019-2022 гг.
«
Прослеживается положительная тенденция – число аномалий маршрутизации – перехватов трафика, как ошибочных, так и злонамеренных, начинает постепенно снижаться. Связано это, в первую очередь, с тем, что ряд операторов связи в 2022 году внедрили механизмы защиты от аномалий маршрутизации, такие как RPKI (Resource Public Key Infrastructure), кроме того, под давлением Tier-1- поставщиков владельцы клиентских автономных систем начинают более корректно настраивать свои сети.

дополнил Александр Лямин
»

ИТ-инфраструктура правительства Сербии вышла из строя после массированной DDoS-атаки

7 января 2023 года правительство Сербии сообщило о массированных DDoS-атаках, нацеленных на веб-сайт и ИТ-инфраструктуру Министерства внутренних дел страны. Работа онлайн-сервисов была нарушена. Подробнее здесь.

ФБР накрыло 48 доменов DDoS-наемников

Министерство юстиции США конфисковало 48 доменов и предъявило обвинения шести подозреваемым в администрировании booter-сервисов. Кроме того, подозреваемые обвинены в использовании IP-стрессеров против чужих сетей и серверов, что является нарушением закона. Об этом стало известно 15 декабря 2022 года.

Booter'ы, также известные как booter-сервисы, представляют собой услуги DDoS-атак, предоставляемые по запросу и предлагаемые предприимчивыми преступниками с целью вывести из строя веб-сайты и сети. Другими словами, booter'ы – это незаконное использование IP-адресов.

Как выяснили специальные агенты ФБР, киберпреступники оплачивают услуги таких сервисов криптовалютой.

DDoS-атака, проведенная специальным агентом ФБР с одного из захваченных доменов

И хотя почти все сайты booter’ов/стрессеров заставляют пользователя принять соглашение, в котором прописан запрет на использование услуг для проведения атак, владельцы таких платформ сами рекламируют их на хакерских форумах.

Недавно прокуратура США объявила о предъявлении обвинений шести лицам за администрирование booter-сервисов. Среди подозреваемых – один человек из Техаса, трое из Флориды, один из Нью-Йорка и еще один с Гавайев, которые предположительно управляли платформами RoyalStresser.com, SecurityTeam.io, Astrostress.com, Booter.sx, Ipstressor.com и TrueSecurityServices.io.

А в рамках более масштабной операции против DDoS-наемников, которая получила название Operation PowerOFF, ФБР и международные правоохранительные органы смогли конфисковать 48 интернет-доменов, используемых booter-сервисами по всему миру. Кроме того, правоохранители работают над тем, чтобы на всех конфискованных доменах было сообщение о том, что использование подобных сервисов незаконно[6].

На Google обрушались мощнейшая DDoS-атака в истории

18 августа 2022 года Google сообщил о крупнейшей из когда-либо зафиксированных компанией распределенных атак по принципу "отказ в обслуживании" (DDoS). Постарадал один из клиентов компании, пользующихся ее облачными услугами. Подробнее здесь.

Найден способ усиления DDoS-атак в 65 раз

Аналитики компании Akamai сообщили, что все чаще наблюдают применение в DDoS-атаках приема, который позволяет усиливать их в 65 раз. В результате злоумышленники, используя очень ограниченные ресурсы, могут запускать атаки катастрофических масштабов и надолго выводить целевую инфраструктуру из строя. Об этом стало известно 16 марта 2022 года.

Прием получил название TCP Middlebox Reflection — отраженные атаки с использованием промежуточных устройств TCP. Промежуточным устройством называется сетевой аппарат, производящий инспекцию пакетов или фильтрацию контента, которым обмениваются другие интернет-устройства. В частности, такие аппараты применяются в система глубокой инспекции пакетов (DPI).

В августе 2021 г. исследователи из нескольких американских университетов описали технологию атаки, которая использует такие устройства для усиления DDoS. Идея заключается в том, чтобы использовать уязвимые файерволы и системы реализации политик фильтрации контента в промежуточных устройствах, используя специально подготовленные последовательности TCP-пакетов, на которые эти устройства вынужденно дают особенно массированный ответ.

В частности, на специальный 33-байтных SYN-пакет систему можно заставить выдавать ответ размером 2156 байт, то есть, коэффициент усиления составляет примерно 65 раз.

В Akamai указывают, что по всему миру выявлены сотни тысяч промежуточных устройств, беззащитных перед таким способом эксплуатации.

Данный вектор превосходит все популярные способы амплификации DDoS-атак, в том числе считавшиеся наиболее опасными, такие как отражение UDP-пакетов и т. п.

Уже наблюдались атаки, нацеленные на банковские, туристические, игровые ресурсы, а также на СМИ и сервис-провайдеров. Пока, впрочем, наиболее мощная атака, использовавшая этот вектор, достигла интенсивности 11 гигабит в секунду, что по нынешним временам не так много.

«
Атакам подвергаются те ресурсы, для которых они оказываются наиболее болезненными, — отметила Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Что касается малой интенсивности, то, полагаю, пройдет очень немного времени, прежде чем мы увидим рекордную по интенсивности атаку с использованием этого вектора[7].
»

В Андорре полностью пропал интернет после DDoS-атаки

В конце января 2022 года атака хакеров во время многодневного турнира по Minecraft SquidCraft Games обрушила серверы единственного интернет-провайдера Andorra Telecom европейского княжества Андорра. Провайдер подвергся неоднократным распределенным атакам хакерами на вычислительную систему с целью довести её до отказа в обслуживании. Интернет по всему государству не работал около получаса, отмечает издание Tom's Hardware. Подробнее здесь.

2021

Число DDoS-атак на одну компанию в 2021 году увеличилось в 3 раза

29 октября 2021 года Сторм системс (StormWall) сообщила о том, что число DDoS-атак на одну компанию в 2021 году увеличилось в 3 раза.

Природа DDoS-атак постоянно меняется. Эксперты компании StormWall следят за тенденциями в области организации DDoS-атак и недавно выявили ряд трендов. Специалисты обнаружили, что с января по сентябрь 2021 года среднее число DDoS-атак на одну компанию во всем мире увеличилось в 3 раза. Для анализа были использованы данные клиентов StormWall. Кроме того, выросло число атак по протоколу TCP. Это связано с тем, что в последнее время сильно подешевели ботнеты, которые позволяют запускать атаки мощностью в несколько сотен гигабит.

В период с января по сентябрь 2021 года доля DDoS-атак на протоколы TCP составила 45% от общего количества всех DDoS-атак, причем в тот же промежуток времени 2020 года доля DDoS-атак по протоколу TCP была только 14%. Доля атак по протоколу UDP с января по сентябрь 2021 года составила 22%, в то время как в 2020 году этот показатель был 34%. Сравнение статистики показывает, что доля атак типа UDP Flood снижается, в то время как атаки типа TCP Flood находится в стадии стремительного роста и становятся все более популярными среди хакеров. Данный тренд наблюдается во всем мире.

Изменения коснулись и других типов атак. С января по сентябрь 2021 года доля DDoS-атак по протоколу HTTP составили 30% от общего количества атак, хотя в 2020 году доля этого типа атак была 51%. Анализ статистики показывает, что хакеров стали меньше интересовать атаки на сайты на уровне приложений (HTTP). Это связано с тем, что на конец октября 2021 года пакетный флуд (TCP/UDP) часто эффективнее и дешевле HTTP-флуда, даже если целью атаки является вебсайт, поскольку в Интернете есть множество предложений по приобретению доступа к мощным ботнетам для организации атак (свыше 200 Гбит/с), работающим на пакетном уровне, по низкой цене (от $100 в сутки).

По мнению экспертов, в связи со сложной экономической ситуацией в мире, хакеры будут продолжать экспериментировать с типами DDoS атак, а также будут стараться снизить свои издержки по организации киберинцидентов. Возможно, что киберпреступники начнут более активно экспериментировать с редко используемыми типами DDoS-атак, использующими уязвимости конкретных приложений и требующих меньшей мощности для того, чтобы вывести жертву из строя:в будущем доля таких атак может значительно повыситься.

Зарегистрирована крупнейшая DDoS-атака в истории - она шла с 70 тыс. источников

В середине октября 2021 года компания Microsoft сообщила о крупнейшей DDoS-атаке в истории. Компания утверждает, что атака длилась более 10 минут, с кратковременными всплесками трафика, пик которых составил 2,4 Тбит/с, 0,55 Тбит/с и 1,7 Тбит/с. Подробнее здесь.

Tet: DDoS-атаки теперь длятся дольше

Компания Tet 10 марта 2021 года поделилась основными вызовами в сфере кибербезопасности в 2021 году, а также сравнили их уровень опасности с 2020 годом.

Главные вызовы для кибербезопасности в 2021 году будут связаны с вирусами в электронных письмах, продуманными фишинговыми кампаниями, слабо защищенными конечными устройствами, на которых люди работают из дома, а также ростом популярности электронной коммерции.

В 2020 году Tet (ранее Lattelecom) предотвратил 2400 DDoS-атак (Distributed Denial of Service — распределенные атаки типа «отказ в обслуживании»), а также заблокировал 140 тысяч вредоносных писем, что на 50% больше, чем годом ранее.

«
Глядя на статистику 2020 года, мы видим, что пандемия отразилась и на киберпространстве, поскольку выросло как число вирусов, так и нападений. Согласно данным Tet, самым популярным для DDoS-атак периодом стал втором квартал 2020 года, в который начался массовый переход на работу из дома. В третьем и четвертом кварталах киберпреступники сфокусировались на нападениях, направленных против финансовых учреждений и критической инфраструктуры государств, — говорит управляющий ИТ-безопасностью Tet Улдис Либиетис.
»

По данным аналитиков Tet, DDoS-атаки теперь длятся еще дольше — если ранее они занимали десятки минут, то теперь хакеры могут атаковать компанию несколько часов, а затем повторить нападение. В связи с ростом популярности электронной коммерции и цифровых технологий в целом, тенденция на усложнение DDoS-атак продолжится и в 2021 году.

«
Управление несколькими потоками данных, размером более 100 Гбит/с с небольшими перерывами на протяжении нескольких дней, нереально организовать одному человеку или небольшому кругу лиц. Такие действия целенаправленно координируются. Остается лишь гадать, кто на самом деле заказывает и планирует подобные атаки. Одно ясно точно — в 2021 году они никуда не исчезнут, — делится Улдис.
»

Еще одна заметная тенденция — скомпрометированное программное обеспечение. На март 2021 года от таких типов атак страдают и ИТ-гиганты.

«
ИТ-решения нередко имеют в своей основе ПО, написанное третьими лицами и состоящее из продуктов многих небольших разработчиков или открытого кода. Хакеры пользуются этим, чтобы попасть в крупные системы с помощью малых звеньев в цепочке создания решения. Мы ожидаем увеличение подобных инцидентов в 2021 году, — рассказывает Улдис.
»

Похожая ситуация уже произошла в 2020 году с SolarWinds Orion, когда многие компании, в том числе Microsoft и VMware стали жертвами, используя ПО от надежного производителя, которое оказалось скомпрометированным. В первую очередь это говорит о том, что организациям, которые сами занимаются разработкой, придется внедрять новые или кардинально менять существующие процессы для контроля компонентов ПО и процесса разработки.

До сих пор актуальной остается проблема зараженных электронных писем. С августа 2020 года специалисты Tet по информационной безопасности наблюдают стремительный рост вирусной активности — количество вредоносных файлов в электронных письмах выросло почти вдвое (до 140 000). Особого внимания в последние годы заслуживал вирус Emotet, остановить деятельность которого удалось в начале 2021 года благодаря скоординированной работе сразу нескольких государств.

Тревожная тенденция наблюдается с распространением вирусов через файлы формата .edoc и .asice, которые люди открывают, несмотря на предупреждения антивируса. Также эксперты Tet фиксируют все более продуманные фишинговые кампании. Переводчик Google и подобные работает все лучше, благодаря чему нападающие за границей могут создавать все более качественные и убедительные письма и рекламу на русском языке.

Исходя из данных 2020 года, а также видя, как развивается ситуация с пандемией и ее последствиям во всем мире, уже на март 2021 года понятно, что в фокусе кибермошенников находится конечный пользователь и его устройства.

«
Зачем пытаться взломать периметр безопасности предприятия, файрволл или хорошо защищенное облако, если вместо этого можно сфокусироваться на самом слабо защищенном звене — человеке? Старое ПО, отсутствие защиты от вирусов, наличие прав администратора, ограниченные возможности контроля сотрудников или вообще его отсутствие делают работников легкой мишенью. Для защиты против угроз придется улучшить как знания работников, так и внедрить дополнительные решения по безопасности, — добавляет Улдис.
»

2020

«Ростелеком»: на фоне пандемии количество DDoS-атак на онлайн-торговлю выросло в два раза

За 2020 год количество DDoS-атак на онлайн-магазины увеличилось в 2 раза в сравнении с 2019 годом. Об этом 16 февраля 2021 года сообщила компания «Ростелеком-Солар». По данным экспертов направления «Кибербезопасность» компании «Ростелеком», пик активности хакеров пришелся на 4 квартал, когда произошло почти 40% всех DDoS-атак. Это связано с резким увеличением спроса на услуги онлайн-магазинов, так как в этот период начинается сезон распродаж и подготовка к новогодним праздникам.

В случае успешной реализации ущерб от подобных атак мог составить в среднем около 600 тыс руб. в день для крупного онлайн-магазина и 50–100 тыс руб. в день – для небольшого.

Интернет-торговля находится в фокусе внимания киберпреступников уже не первый год. Однако на фоне введения различных карантинных мер популярность этой отрасли возросла, что сделало ее еще более привлекательной целью для злоумышленников.

Целями DDoS-атак на ритейл остаются: удар по репутации магазина, нанесение бизнесу серьезного финансового вреда, а также вымогательство, когда хакеры совершают слабую показательную атаку и требуют деньги, чтобы предотвратить более масштабный сбой. Иногда DDoS-атака используется как своего рода «шумовая завеса», отвлекающая ИБ-службу компании-жертвы от другого, более серьезного инцидента – например, кражи конфиденциальных данных покупателей.

«
На фоне резкого увеличения спроса на онлайн-услуги злоумышленники стали искать быстрые и дешевые методы организации DDoS «здесь и сейчас». При этом киберпреступники делали ставку на длительность атак, чтобы «измотать» жертву и наверняка вывести из строя ее ресурсы. Использование простых технологий для организации DDoS в целом отличает 2020 год. Этот тренд прослеживается в контексте атак не только на онлайн-ритейл, но и на другие отрасли, – отметил Тимур Ибрагимов, руководитель направления Anti-DDoS сервисов Solar MSS компании «Ростелеком».
»

В отчетный период хакеры отдавали предпочтение простым методам организации DDoS, однако их инструментарий стал более разнообразным. Если раньше более чем 80% атак на онлайн-ритейл приходилось на UDP-flood, то в 2020 году его доля сократилась до четверти. Суть метода заключается в том, что сервер-жертва получает огромное количество UDP-пакетов, которые занимают всю полосу пропускания. В итоге канал сервера оказывается перегружен и не может обрабатывать другие запросы.

SYN-flood, на который годом ранее приходилось менее 10% атак, в 2020 сравнялся по количеству с UDP-flood. В этом случае, получая запрос на подключение, сервер-жертва резервирует свои ресурсы и ожидает завершения установки соединения, которого так и не происходит. Такие полуоткрытые соединения переполняют очередь подключений, вынуждая сервер отказывать в обслуживании реальным клиентам.

В целом злоумышленники старались использовать весь доступный арсенал инструментов, чтобы реализовать атаку. Помимо SYN- и UDP-flood также активно применялись TCP Reset Flood, атаки фрагментированными пакетами, DNS- и NTP-amplification и подобные инструменты.

StormWall: во время пандемии количество DDoS-атак на онлайн-ритейл выросло в 4 раза

13 ноября 2020 года компания StormWall сообщила, что провела исследование DDoS-атак, осуществленных на ресурсы компаний, работающих в сфере онлайн-ритейла. Во время проведения исследования были использованы данные клиентов StormWall, работающих в разных сегментах электронной коммерции. Эксперты обнаружили, что во время пандемии, в период с февраля по октябрь 2020 года, число DDoS-атак на сервисы онлайн-ритейла увеличилось в 4 раза по сравнению с аналогичным периодом 2019 года. Прдробнее здесь.

Хакеры заблокировали сайт ЦБ Белоруссии

26 октября 2020 года Национальный банк Белоруссии пережил кибератаку, при которой его сайт вышел из строя. Ответственность за блокировку взяла на себя анонимная хакерская группировка «Киберпартизаны». Подробнее здесь.

Новозеландская фондовая биржа не работала 4 дня из-за кибератак

В конце августа 2020 года фондовая биржа Новой Зеландии оказалось под ударом кибератак и не работала 4 дня подряд. Периодические перебои начались во вторник 25 августа, в результате чего торговля ценными бумагами остановилась до окончания биржевого дня. Подробнее здесь.

Украина пережила крупнейшую DDoS-атаку в истории. 1/10 всех сетей была под ударом

В конце июля 2020 года стало известно о крупнейшей DDoS-атаки в истории Украины. Под ударом оказалась десятая часть всех телекоммуникационных сетей в стране.

Как сообщает «РБК-Украина» со ссылкой на заместителя секретаря Совета нацбезопасности и обороны Украины (СНБО) Сергея Демедюка, многократные атаки с помощью ботов продолжались от 40 минут до 1,5 часа в течение нескольких дней, достигнув значения около 780 Гбит/с. Хакерам удалось добиться отключения 15% мирового интернета. После утечки данных в даркнете появились реальные IP-адреса 45 сайтов с доменом «gov.ua» и свыше 6,5 тыс. с доменом «ua», рассказал Демедюк.

На Украине рассказали о крупнейшей кибератаке в истории страны

По словам Демедюка, таких кибернападений на Украину ещё не было: хакеры использовали не мощности зараженных устройств, а стримингового видеопотока для нагрузки на IP-адрес. Целью DDoS-атак было нарушение работы телекоммуникационных провайдеров, заявил он.

Кроме того, как подчеркнул представитель СНБО, атака осуществлялась не на конкретные адреса, а целыми диапазонами, при этом использовались сломанные веб-камеры.

«
Их дефолтные настройки (например, login: admin, password: admin) были одной из основных причин получения несанкционированного доступа к удаленному управлению, — заявил Сергей Демедюк, добавив, что к концу июля 2020 года СНБО сейчас работает над тем, чтобы зафиксировать все цифровые следы этой атаки и собрать данные в различных частях мира, где были зафиксированы такие атаки.
»

По данным Центра кибербезопасности при Национальной комиссии по регулированию в сфере связи и информатизации (НКРСИ), во втором квартале 2020 года DDoS-атаки стали причиной 46% киберинцидентов в государственном секторе. При этом в негосударственном секторе этот долевой показатель составил 1%.[8]

Amazon отразила крупнейшую DDoS-атаку в истории

В середине июня 2020 года стало известно, что в феврале Amazon с помощью сервиса AWS Shield отразила самую крупную DDoS-атаку в истории, которая на пике мощности достигла скорости 2,3 Тбит/с. Подробнее здесь.

2019

Школьники устраивают массовые DDoS-атаки

11 ноября 2019 года «Лаборатория Касперского» обнародовала результаты исследования, которые показали 32-процентный рост числа DDoS-атак в мире по итогам третьего квартала относительно аналогичного периода 2018-го. Примерно такой же всплеск кибернападений произошёл в сравнении со второй четверти 2019 года.

По данным экспертов, школьники оказались ответственны почти за половину DDoS-атак в третьем квартале. При этом Россия оказалась в числе лидирующих стран, где были обнаружены DDoS-атаки на образовательные ресурсы.

Средняя продолжительность DDoS-атак, данные "Лаборатории Касперского"

Самым бурным днем в этом отношении за отчетный квартал оказалось 22 июля. Тогда было зафиксировано 467 DDoS-атак. Самым спокойным оказалось 11 августа с 65 атаками.

«
Отчасти именно активизация DDoS-дилетантов в третьем квартале 2019 года привела к тому, что за эти три месяца ощутимо сократилось число «умных» атак — технически более сложных и требующих от злоумышленников большей изобретательности, — говорится в исследовании.
»

В «Лаборатории Касперского» подсчитали, за 2018–2019 учебный год пользователи были более 350 тыс. раз атакованы через электронные учебники и рефераты. Специалисты указывают, что подобные вирусы представляют большую опасность для крупных компаний, чем для рядовых пользователей, и отмечают рост хакерской активности в сфере образования во всем мире.

Согласно прогнозам российского производителя антивирусо, в четвёртом квартале 2019 года количество атак наверняка вновь вырастет в преддверии праздников.

Вал атак на ресурсы из сектора образования прекратится к зиме, однако полностью их оставят в покое только к лету, с наступлением каникул, уверены эксперты.

Менеджер по развитию бизнеса Kaspersky DDoS Protection в России Алексей Киселёв говорит, что DDoS-атаки является вторым по популярности типом атак на малый и средний бизнес.[9]

Число DDoS-атак в мире подскочило на 180%

Количество DDoS-атак в мире по итогам 2019 года подскочило на 180% относительно 2018-го, подсчитали в компании Neustar, специализирующейся на технологиях обеспечения информационной безопасности.

Эксперты не уточнили количество кибернападений вида «отказ в обслуживании» и лишь сообщили, что рост наблюдается во всех категориях атак. Наиболее высокая динамика снова зарегистрирована среди атак мощностью до 5 Гбит/с.

Количество DDoS-атак в мире по итогам 2019 года подскочило на 180% относительно 2018-го, подсчитали в компании Neustar, специализирующейся на технологиях обеспечения информационной безопасности

Самая сильная атака в 2019 году имела мощность 587 Гбит/с, что на 31% превосходит максимальный показатель предыдущего года. Предельная интенсивность DDoS-атаки в 2019 году измерялась 343 млн пакетов в секунду — это на 252% больше, чем годом ранее.

Однако, несмотря на растущие пики, средний размер атаки (12 Гбит/с) и интенсивность (3 млн пакетов в секунду) оставались неизменными. Самый продолжительная одиночная атака в 2019 году длилась три дня, 13 часов и восемь минут.

Также эксперты отметили рост числа так называемых умных DDoS-атак, которые осуществляются очень опытными киберпреступниками, и атак, прямо нацеленных на сетевую инфраструктуру.

В 2019 году примерно 85% всех атак использовали не менее двух векторов угроз. Это число сопоставимо с показателем за 2018 год; однако число атак с использованием двух или трех векторов возросло с 55% до 70%, соответственно уменьшилось число простых одно-векторных атак и сложных четырех- и пяти-векторных атак.

В Neustar также опросили специалистов по информационной безопасности, и 58% из них назвали DDoS-атаки растущим фронтом киберугроз наряду с социальной инженерией с использованием электронной почты (59%) и вирусами-вымогателями (56%).

Эксперты предупреждают, что в связи с растущим переходом сотрудников компаний и госучреждений на удалённую работу количество DDoS-атак может увеличиваться.[10]

Qrator Labs: Основные тенденции в области сетевой безопасности и доступности интернета

6 февраля 2020 года компания Qrator Labs представила тренды в сфере сетевой безопасности в 2019 году.

Рост рынка IoT означает, что злоумышленники при желании могут эксплуатировать уязвимые устройства, создавая значительную пропускную полосу атаки – как это произошло в середине года, когда протокол WSDD был задействован для нанесения видимого ущерба. Протокол Apple ARMS, который был задействован для получения коэффициента амплификации порядка 35,5, также был виден в атаках на сеть фильтрации Qrator Labs.

В течение 2019 года были выявлены амплификаторы (PCAP), а также на практике был зафиксирован давно известный вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK- флуд).

Техника атаки типа Amplification («усиление») заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP.

Атаки, задействующие вектор амплификации SYN-ACK, стали одной из наиболее серьезных сетевых угроз, тогда как до 2019 года оставались лишь теорией. Одна из первых громких атак с использованием техники SYN-ACK амплификации была организована на международную хостинговую платформу Servers.com. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой «мусорным» трафиком составил 11,5 часов.

Довольно интересным является и то, что наиболее часто использовавшийся в прошлом метод реакции в виде сброса всего UDP-трафика, виртуально нейтрализующего большую долю атак с использованием амплификации, совсем не помогает нейтрализовать вектор SYN-ACK. Меньшие интернет-компании испытывают огромные трудности при нейтрализации подобных угроз, так как она требует задействования более комплексных мер по борьбе с DDoS-атаками.

Данные исследования Qrator Labs

В 2019 году был выявлен класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи. Многие компании хотят автоматически контролировать поток исходящего трафика, это позволяет им существенно снизить расходы. С этой целью устанавливаются различные устройства, использующие специфичные тактики для работы с протоколом BGP, которые могут работать, только если вокруг них корректно настроены фильтры, предотвращающие утечку маршрутов. К сожалению, существует мало специалистов, умеющих правильно настраивать фильтры, в связи с чем оптимизаторы постоянно «прорываются» и маршруты утекают в неизвестном направлении.

Так, в январе 2020 года на одну из точек обмена трафиком в Санкт-Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой Народной Республики, который занимался оптимизацией трафика. Подобные инциденты опасны не только возникновением ошибок в сети, но злонамеренным перехватом трафика (атаки Man-in-the-middle).

В последнее время из-за закупки BGP-оптимизаторов такие ситуации происходят регулярно. Индустрия квалифицированных сетевых инженеров активно выступает за ограничение использования оптимизаторов, поскольку работать с ними никто не умеет. Однако уже и в России можно наблюдать, как многие компании начинают закупать BGP-оптимизаторы для снижения расходов на трафик, что в свете введения в действие законодательства про точки обмена трафиком и автономные системы может дать очень неприятный кумулятивный эффект.

Данные исследования Qrator Labs
«
«Преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них ̶ реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках ̶ в частности, для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример ̶ Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывая контроль над уже взломанными кем-то ресурсами. По данным на февраль 2020 года Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies»,
»

Несмотря на то что производители мобильных устройств стараются поддерживать как можно больше версий современных приложений, в 2019 году стало заметно, что многие из них всё же перестают обновляться на старых устройствах. В большей степени это касается популярного браузераChrome. По данным на февраль 2020 года существуют целые парки устройств, на которых работают старые версии браузера, а новые – становятся не доступны. Эти старые версии браузеров содержат в себе уязвимости, которые могут привести к утечке персональных данных и финансовой информации.

С другой стороны, на многих устройствах Chrome продолжает активно обновляться, за счет чего компания Google предположительно проводит A/B тестирование браузера на пользователях.

Все привыкли считать, что, когда выходит очередная версия браузера, все компьютеры автоматически до нее обновляются. Однако это не совсем так. Google одновременно выпускает две минорные версии браузера Chrome (затрагивающие менее значительные улучшения и доработки) и часть пользовательских устройств обновляет до одной, половину – до другой. Вероятнее всего, это делается для тестирования протокола QUIC, который поддерживается в Google Chrome. QUIC (Quick UDP Internet Connections) —экспериментальный интернет-протокол, разработанный Google для замены старого стека протоколов WWW. Уязвимость QUIC состоит в том, что его непродуманное внедрение в интернет-сервисах может ослабить их защиту от DDoS-атак. Популярные у злоумышленников наборы инструментария для организации DDoS-атак обладают встроенной поддержкой UDP, что может представлять большую угрозу для QUIC, чем для традиционных WWW-протоколов, основанных на TCP.

Данные исследования Qrator Labs

Ситуация с тестированием Chrome показывает, как Google разрабатывает сетевые протоколы нового поколения. Подобным образом выявляется, в какой из версий Chrome лучше отзывчивость, где лучше работают различные сетевые параметры, у кого из пользователей страница открывается быстрее. Для пользователей такая ситуация существенна с той точки зрения, что у двух отдельно взятых людей сайты могут начать открываться немного по-разному. Также это показатель того, как быстро Google (или другие компании, например, Telegram) может развернуть новый протокол, например, для обхода блокировок, на всех устройствах мира.

Наиболее атакуемые индустрии, 2019
«
«По нашим оценкам, общее количество DDoS-атак за 2019 год выросло примерно в 1,5 раза. Такое увеличение числа инцидентов было достигнуто за счет роста атак на отдельные индустрии: банки, платежные системы, криптобиржи, онлайн-ритейл, сайты знакомств. Можно наблюдать, что в последний год наблюдался передел определенных рынков между отдельными его игроками. И если крупный бизнес может выдержать нападения, то для среднего бизнеса это большая проблема: у небольших компаний часто нет свободных финансовых ресурсов для использования внешних решений по защите на постоянной основе, поэтому они чаще других становятся жертвами DDoS-атак»,
»

Динамика количества атак по используемой полосе, 2018–2019 гг

По формальным данным Qrator Labs, атаки на сектор СМИ уменьшились на 7,59%, однако ситуация несколько сложнее, чем кажется. В конце 2019 – начале 2020 года нападения на масс-медиа выросли на порядок. В последние годы большинство российских СМИ начали использовать бесплатные или недорогие средства защиты от DDoS, в частности, зарубежные. Поскольку бюджетная защита часто имеет соответствующий уровень качества (ввиду, в особенности, ошибок при её внедрении), в конце 2019 года индустрия наблюдала множество успешных атак на сайты средств массовой информации. В итоге злоумышленники поняли, что большинство сайтов СМИ можно легко обрушить даже минимальными усилиями, и в последнее время они начали делать это просто ради развлечения.

«
«В 2020 году будет наблюдаться продолжение ситуации с атаками на медиа. Уже в начале года появилось большое количество инфоповодов, многие из которых вызвали живой отклик в умах людей, как позитивный, так и негативный. За бурными всплесками в инфопространстве обычно следуют активные попытки взломов и DDoS-атаки, к которым индустрия СМИ может быть не готова»,

отметил Артем Гавриченков, технический директор Qrator Labs
»

Данные компании Positive Technologies, специализирующейся на разработке ПО и оказании сервисов в области кибербезопасности, показывают, что с точки зрения атакуемых киберпреступниками индустрий лидерство по итогам года осталось за государственными учреждениями, компаниями промышленной и финансовой отраслей, а также медицинскими и научными организациями. В большинстве случаев объектом кибератаки в течение года оставались компьютеры, серверы и сетевое оборудование целевых компаний.

«
«Для защиты от массовых атак достаточно следовать типовым рекомендациям. Но такой подход не работает при сложных целенаправленных атаках профессиональных хакеров. Нужно изучать их техники и инструменты, внедрять специализированные системы защиты, которые способны такие инструменты и техники обнаружить: SIEM (Security information and event management), NTA (Network traffic analysis), песочницы (Sandbox) и т.п. И конечно, важно повышать практические навыки сотрудников службы ИБ, ведь противостояние сложным угрозам требует высокой квалификации персонала»,

отметил Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies
»

По данным Positive Technologies, атаки на веб-ресурсы организаций вошли в ТОП-3 по популярности среди киберпреступников, но при этом не превысили 20% в общем числе. Наиболее подвержены им оказались государственные учреждения и, в частности, порталы государственных и муниципальных услуг.

«
«Атака на веб-приложение – один из наиболее популярных методов атак в принципе. В рамках тестирований уровня безопасности наши эксперты регулярно подтверждают факты возможного проникновения в сети компаний через уязвимые сайты. Но если организация использует средства для защиты, то вероятность успешной атаки значительно снижается. Появляется шанс вовремя среагировать на угрозу и заблокировать атакующего. К сожалению, сайты госорганизаций содержат множество уязвимостей, а защите веб-приложений не уделяется должного внимания. В фокусе – безопасность сайтов государственного или регионального значения, при этом множество менее значимых ресурсов все еще остается уязвимо. Преступники знают и пользуются этим, например для кражи информации, дэфейса, майнинга или просто для отладки новых инструментов атаки перед проведением атак на более крупные цели. К наиболее уязвимым можно причислить также сайты образовательных и медицинских учреждений»,

отметил Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies
»

Китай вновь использует для DDoS-атак «Великую пушку»

По данным аналитиков AT&T Cybersecurity, китайские власти вновь активировали «Великую пушку» (Great Cannon) — мощный инструмент для DDoS-атак, который в последний раз использовался два года назад[11][12].

Последний раз «Великая пушка» применялась в 2017 году[13], когда китайские власти использовали ее для DDoS-атак на Mingjingnews.com, китайский новостной сайт в Нью-Йорке. До этого инструмент использовался для организации DDoS-атак на GitHub, так как там размещают утилиты, помогающие китайским пользователям обходить национальный файрвол, и GreatFire.org — портал, посвященный интернет-цензуре по всему миру.

Согласно отчету 2015 года, составленному специалистами Citizen Lab, «Великая пушка» и «Великий китайский файрвол» использовали схожий код и располагались на одних и тех же серверах. Так, DDoS-инструмент перехватывал трафик, предназначенный для сайтов, расположенных в Китае, и вставлял JavaScript в ответы, получаемые пользователями в браузерах. Этот вредоносный JavaScript выполнялся в браузерах и тайно осуществлял доступ к сайту-жертве, создавая гигантские всплески трафика.

Теперь эксперты AT&T Cybersecurity утверждают, что «Великую пушку» используют снова. На этот раз мишенью для атак стал сайт LIHKG.com — это онлайн-платформа, где организаторы протестов в Гонконге делятся информацией о местах проведения ежедневных демонстраций. Также сайт является местом сбора для жителей Гонконга, где они публикуют истории о злоупотреблениях полиции и куда загружают видеодоказательства.

По информации аналитиков, первые DDoS-атаки на LIHKG были обнаружены 31 августа 2019 года, а последняя атака была зафиксирована 27 ноября 2019 года. Исследователи пишут, что в ходе августовских атак использовался JavaScript, очень похожий на код, который был обнаружен ранее, во время атак на Mingjingnews.com в 2017 году.

Число технически сложных DDoS-атак во втором квартале выросло на 32%

5 августа 2019 года стало известно, что число технически сложных DDoS-атак выросло на 32% по cравнению с аналогичным периодом 2018 года и составила почти половину (46%) от общего числа этих киберугроз.

Как сообщалось, во втором квартале была зафиксирована атака длительностью 509 часов (21 день). Это рекорд: ранее он составлял 329 часов. В целом же доля длительных атак стала меньше, чем в начале года.

Количество DDoS-атак, направленные на ресурсы, расположенные в России, осталось, по сравнению с вторым кварталом 2018 года, примерно на прежнем уровне, снизившись на 9%.

Сравнение числа и продолжительности стандартных и «умных» атак за Q2 2018, Q1 и Q2 2019
«
Обычно злоумышленники, которые пытаются «положить» сайты для развлечения, уходят на каникулы до сентября. А вот профессионалы, которые стоят за технически сложными атаками, наоборот, как показала наша статистика, работают летом ещё интенсивнее. Компаниям следует обратить на это внимание. Многие организации хорошо защищены от больших объёмов нежелательного трафика, но этого недостаточно в случае «умных» атак, которые требуют распознавания нелегитимной активности, даже если её не очень много. Поэтому мы рекомендуем компаниям убедиться в том, что их решения для защиты от DDoS готовы к отражению этого типа киберугроз.

рассказал Алексей Киселёв, менеджер по развитию бизнеса Kaspersky DDoS Protection в России
»

Распределение DDoS-атак по странам, Q1 и Q2 2019 г.

«Лаборатория Касперского» советует принять следующие меры для защиты от DDoS-атак:

  • убедиться, что корпоративные веб-сайты и IT-ресурсы в состоянии обрабатывать большое количество трафика;
  • использовать специализированные защитные решения. [14]

Распределение уникальных мишеней DDoS-атак по странам, Q1 и Q2 2019 г.

Пальма первенства по количеству атак, направленных против целей в конкретном регионе, по-прежнему остается за Китаем (63,80%), на втором месте все так же США (17,57%), а на третьем — Гонконг (4,61%).

Динамика числа DDoS-атак в Q2 2019 г.

Колебания в первой тройке незначительны, но в рейтинге снова появились страны, от которых не ожидается DDoS-активности: на сей раз это Нидерланды (4-е место с 1,54%) и Тайвань (7-е место с 1,15%).

Распределение DDoS-атак по дням недели, Q1 и Q2 2019 г.

На август 2019 года десятка лидеров по количеству уникальных мишеней примерно соответствует десятке лидеров по количеству атак: первые три места также заняли Китай (55,17%), США (22,22%) и Гонконг (4,53%). Кроме них в первую десятку по этому критерию вошли Тайвань (1,61%) и Ирландия (1%).

Распределение DDoS-атак по длительности, в часах, Q1 и Q2 2019 г

Самым бурным месяцем в этом квартале стал апрель 2019 года, на который пришелся в том числе и пик атак, самым тихим — следующий за ним май.

Распределение DDoS-атак по типам, Q2 2019 г.

Статистически больше всего атак совершалось в понедельник (17,55%), а самым спокойным днем стало воскресенье (10,45%).

Наибольшая доля мусорного трафика в квартале по-прежнему приходилась на SYN-флуд (82,43%), за которым следовал UDP (10,94%). Однако HTTP и TCP-трафик поменялись местами: последний выбился вперед (3,26%), а доля первого составила лишь 2,77%.

Доли Windows- и Linux-ботнетов почти не изменились по сравнению с прошлым кварталом.

Соотношение атак Windows- и Linux-ботнетов, Q1 и Q2 2019 г

В географическом рейтинге по количеству командных серверов ботнетов лидируют США (44,14%), на втором месте Нидерланды (12,16%), а на третьем — Великобритания (9,46%). Интересно, что в этом квартале десятку лидеров покинула Россия.

Распределение командных серверов ботнетов по странам, Q2 2019 г.

Показатели первой тройки стран по количеству атак, направленных против целей в конкретной стране, в этом квартале почти не изменились: на первом месте по-прежнему Китай, хотя его доля снизилась примерно на 4 п. п. и составила 63,80%. На втором месте США с практически прежней долей (17,57%), а на третьем — Гонконг, чей «вклад» в общее число кибератак (4,61%) также изменился очень мало.

Тенденция прошлых кварталов продолжается: в десятке вновь появляются неожиданные гости. На сей раз это Нидерланды, занявшие четвертое место с 1,54%, и Тайвань, оказавшийся 7-м с долей 1,15%. И если Нидерланды уже попадали в десятку в 2016 году или подходили к ней близко, то для Тайваня это довольно значительный рост показателей. Десятку покинули Франция и Саудовская Аравия, а Канада опустилась с 4-го места на 8-е, хотя в численном выражении ее доля даже повысилась, составив 0,93%. Вьетнам занял последнее место в десятке (0,68%), а Великобритания поднялась в рейтинге на одну позицию, став шестой (1,20%). Сингапур по-прежнему пятый, хотя его доля также подросла (до 1,25%).

Распределение числа уникальных целей более или менее соответствует распределению числа атак. Первые четыре места совпадают: Китай с 55,17% (его доля уменьшилась, и тоже примерно на 4 п. п.), США с 22,22% (их доля выросла примерно на 1 п. п.), Гонконг с 4,53% (доля снизилась всего на 0,2 п. п.) и Нидерланды с 2,34% (тут изменения оказались значительны, потому что в прошлом квартале Нидерланды даже не входили в десятку).

В области географического распределения командных серверов ботнетов лидерство по-прежнему остается за США (44,14%). Кроме них в первую тройку вошли Нидерланды (12,16%) и Великобритания (9,46%). Китай оказался только на пятом месте (4,95%), а доля Южной Кореи составила 1,80%, что сделало ее предпоследней в этом рейтинге. Кроме того, в десятку в этом квартале попала Греция (1,35%), однако выпали Румыния, и — что особенно неожиданно — Россия.[15]

Хакеру дали 2 года тюрьмы за DDoS-атаки на Sony

В начале июля 2019 года 23-летний хакер из штата Юта Остин Томпсон был приговорён к 27 месяцам тюрьмы и выплате штрафа в размере $95 тыс. за серию DDoS-атак на игровые серверы Sony и других компаний. Подробнее здесь.

Разгромив заказной DDoS-сервис, власти решили покарать и его клиентов

Европол и другие правоохранительные организации начали активные розыски пользователей сервисов заказных DDoS-атак. Это стало продолжением международной операции Power Off, в результате которой в апреле 2018 г. сыщики нейтрализовали крупнейший DDoS-сервис Webstresser.org и арестовали его владельцев[16].

В результате операции в руки правоохранителей попали сведения о клиентах Webstersser.org. На момент его нейтрализации у сервиса было 136 тыс. зарегистрированных клиентов, а всего правоохранительные органы получили данных на 151 тыс. пользователей DDoS-сервиса.

Атаки заказывались на самые разные объекты, от игровых серверов до банков и правительственных учреждений.

Европол объявил, что полиция Великобритании теперь проводит широкомасштабную операцию по поиску клиентов Webstresser. Следователи уже навестили нескольких подозреваемых и изъяли не менее 60 личных устройств для анализа. Готовятся обвинения против 250 человек — пользователей как Webstresser, так и других аналогичных сервисов.

2018

Падение средней длительности DDoS-атак до 2,5 часов на фоне роста их интенсивности

12 февраля 2019 года Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представил отчет о состоянии сетевой безопасности в 2018-2019 годах.

Ключевые наблюдения 2018 года:

  • Средняя длительность DDoS-атак упала до 2,5 часов;
  • 2018 год показал наличие вычислительной силы, способной генерировать атаки интенсивностью сотни гигабит в секунду внутри одной страны или региона;
  • Интенсивность DDoS-атак продолжает расти вместе с одновременным ростом доли атак с использованием HTTPS (SSL);
  • Большая часть современного трафика генерируется на мобильных устройствах, представляя собой задачу для организаторов DDoS и следующий вызов для компаний, занимающихся защитой сетей;
  • Протокол BGP стал вектором атаки, на 2 года позже ожидаемого срока;
  • Манипуляции DNS по-прежнему являются наиболее разрушительным вектором атаки;
  • Ожидается появление амплификаторов, таких как memcached и CoAP;
  • Все отрасли одинаково уязвимы перед кибератаками любого рода.

2018 год начался с рекордных по интенсивности атак с memcached амплификацией, ознаменовавших начало очередной эры DDoS-атак. 2018 год продемонстрировал, что, помимо манипуляций с BGP, терабитные DDoS-атаки способны вывести из строя интернет-провайдеров среднего уровня, если не самых крупных.

Серьезную угрозу представляют высокоинтенсивные DDoS-атаки, сосредоточенные в одном регионе. Подобные атаки интенсивностью в 500 Гбит/сек, сгенерированные на 100% внутри одного региона, уже были зафиксированы в 2018 году. Такие события будут происходить все чаще во многих странах и регионах, чьи сети стали быстрыми и эффективными. Европа, Россия, Китай, Америка, Индия - все эти огромные территории уже обладают устойчивыми сетями, готовыми к тому, чтобы быть нацеленными на выведение из строя региональные цели.

Число зашифрованных атак значительно выросло. В предыдущие годы подобные атаки были редки, и злоумышленники использовали в первую очередь старый вектор HTTP. Боты, способные к использованию шифров, представляют собой первостепенную опасность, так как обладают широкими способностями к обучению.

Протокол BGP становится всё более востребованным у атакующих, которые все чаще используют его для перехвата трафика и перенаправления пользователей на фальшивые фишинговые страницы. При этом шифрование не защитит пользователей от обмана, так как злоумышленники научились подписывать SSL-сертификаты, а потому такие страницы не вызывают подозрения у рядового посетителя ввиду отсутствия наглядной разницы между настоящей, легитимной веб-страницей и фальшивой.

Манипуляции DNS, такие как cache poisoning (повреждение целостности данных в системе DNS путём заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника), очень часто сопровождают попытки перехвата с помощью BGP. В 2018 году Qrator Labs стала свидетелем кражи разнообразных криптовалют, организованных с использованием связки именно этих двух протоколов.

DNS амплификация была и остается одним из самых известных векторов DDoS-атак канального уровня. В случае атаки интенсивностью в сотни гигабит в секунду существует немалая вероятность перегрузки подключения к вышестоящему провайдеру.

Ботнеты значительно развились за 2018 год, а их владельцы придумали очередное занятие - кликфрод. С улучшением технологий машинного обучения и получением в руки headless-браузеров (работающих без сетевых заголовков) занятие кликфродом значительно упростилось и удешевилось всего за два года.

Машинное обучение уже достигло массового рынка и стало вполне доступным. В связи с этим появление первых, основанных на ML-алгоритмах, DDoS-атак ожидается в ближайшее время, особенно учитывая снижающуюся стоимость управления и повышающуюся точность аналитики таких сетей.

Боты

Идентификация становится крайне серьезной проблемой и задачей в современном интернете, так как самые продвинутые боты даже не пытаются изображать человека – они им управляют и находятся в одном с ним пространстве. Проблематика ботов-сканеров и многих других подвидов заключается в очень важной экономической компоненте. Если 30% трафика нелегитимны и происходят от нежелательных источников, то 30% затрат на поддержку такого трафика оказываются бесполезны.

Парсеры и сканеры, являющиеся частью широкой проблематики ботов, вышли на горизонт только в 2018 году. Во время эпидемии парсинга, которую в Qrator Labs наблюдали в России и СНГ всю вторую половину 2018 года, стало очевидно, что боты далеко продвинулись в вопросах шифрования. Один запрос в минуту – это вполне нормальная интенсивность для бота, которую очень сложно заметить без анализа запросов и исходящего трафика ответов.

Снижение поощрения атакующего – единственный способ противодействия. Попытка остановить ботов не принесет ничего, кроме потраченных времени и средств. Если что угодно кликает на то, что дает прибыль – необходимо отменить эти клики; при парсинге можно включить слой `фальшивой` информации, через которую с легкостью пройдет обычный пользователь в поисках корректной и достоверной информации.


Интернет Вещей

IoT как индустрия не совершил значительного прогресса в сторону улучшения своей общей безопасности за 2018 год. Исследователи обнаружили класс индустриального оборудования, которое массово подключается к сетям и обладает значительными уязвимостями. Недавние открытия относительно протокола CoAP свидетельствуют, что подобных незакрытых точек эксплуатации может быть очень много.

Амплификаторы на базе IoT являются очевидным дальнейшим развитием идеи уязвимых сервисов. Более того, домашние подключенные устройства представляют собой лишь статистическую верхушку этого айсберга. Есть и другие группы `подключенных устройств`, сообщающихся с помощью протоколов, которые выбраны непредсказуемо и не обеспечивают достаточную защиту устройств.

Незакрытые уязвимости в индустриальном интернете вещей будут эксплуатироваться и дальше при условии неизменности текущего подхода к разработке.

На протяжении уже длительного времени мы живем в мире мультифакторных атак, эксплуатирующих атакующие возможности сразу нескольких протоколов для выведения цели из работоспособного состояния.

DDoS-атаки долгое время были серьезной проблемой лишь для ограниченного числа бизнес отраслей, таких как электронная коммерция, торговля и биржа, банкинг и платежные системы. Но с продолжающимся развитием интернета наблюдаются DDoS-атаки увеличенной интенсивности и частоты в абсолютно всех частях интернета. Эпоха DDoS началась с определенного порога пропускной способности домашних роутеров и, неудивительно, что с появлением микрочипа в каждой физической вещи вокруг ландшафт атак начал стремительно меняться. 2018 год был годом возможностей для «темной стороны». В Qrator Labs увидели рост атак с одновременным их усложнением и увеличением как объема в сетевых терминах, так и частоты.

Qrator Labs: ключевые тренды в области интернет-безопасности

Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, в марте 2018 года опубликовала обзор основных трендов 2017 года в области интернет-безопасности в России и в мире. В отчете описаны главные тенденции и проблемы в области доступности и безопасности веб-ресурсов, связанные с угрозами DDoS-атак и взломов.

В 2017 году зафиксирована растущая диверсификация угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации.

Если 2016 год можно было назвать годом ботнетов и терабитных атак, то 2017 год стал годом сетей и маршрутизации. Такие инциденты, как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и `Ростелекомом` в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческим фактором, основанные на недостаточной автоматизации процессов.

Интернет вещей

«
Основное различие между 2016 и 2017 годом заключается в том, что злоумышленники переключили собственное внимание со взлома отдельных устройств на атаки на облака и IoT-платформы. Интернет вещей предоставляет злоумышленникам доступ к тысячам полностью работоспособных устройств одновременно, часто подобные проникновения остаются незамеченными. Экономическая эффективность — причина, по которой мы ожидаем увеличения частоты подобных атак на целые облака и платформы в 2018 году, — отметил генеральный директор и основатель Qrator Labs Александр Лямин.
»

Многие IoT-устройства все еще взламываются с использованием тривиальных способов, таких как уязвимости в веб-интерфейсе. Почти все такие уязвимости критичны, и у производителя крайне ограниченные возможности по быстрому созданию патча и доставке его в виде обновления.

Взломы IoT-устройств участились с тех пор, как инструментарий Mirai стал базовым фреймворком для создания ботнета в 2017 году. Эксперты предсказывают появление еще больших по количеству и масштабу задействованных устройств и, конечно, гораздо более опасных ботнетов с точки зрения возможностей. Qrator Labs ожидает активное появление еще более крупных ботнетов, чем Mirai, способных к flood-атакам даже без использования amplification-протоколов.

Инфраструктурное наследие

В 2017 году инциденты маршрутизации стали такими же печально известными, как и ботнеты в 2016 году. Известно, что такие инциденты могут быть не менее масштабными и опасными, чем атаки рекордного ботнета, оставляя без доступа к популярным ресурсам почти целую страну.

По мнению экспертов Qrator Labs, в случае протокола BGP (Border Gateway Protocol) необходимо быть предельно осторожными, так как потенциальный урон может быть колоссален. Поскольку BGP управляет передачей всего трафика от одной AS (автономной системы) к другой, речь идет не только об увеличенных задержках в доступе к ресурсам для пользователей, но, что более важно, о появлении вероятности MiTM-атаки на шифрованный трафик. Подобные инциденты могут затронуть миллионы пользователей в разных странах.

Уязвимости и интранет

2017 стал настоящим годом взломов. От эпидемий шифровальщиков до открытий архивов Vault7 и Shadow Brokers, в дополнение к заметным утечкам вследствие человеческих ошибок, где Uber и Equifax представляют собой два наиболее громких примера.

2017 год продемонстрировал, насколько разнообразные виды оборудования могут быть уязвимы к различным типам кибератак. В будущем будет фиксироваться еще больше инцидентов, связанных с устаревшим программным и аппаратным обеспечением, считают в Qrator Labs.

Атаки с использованием смартфонов могут производиться как на основе заражения вредоносными приложениями, даже в случае их установки из официальных магазинов, так и с помощью подобных BlueBorne уязвимостей. Браузерные расширения и плагины, сетевые устройства (которые уже достаточно пострадали в течение последних трех лет), любое оборудование на стыках провайдеров — все может быть неоднократно протестировано на устойчивость к атакам и, вероятно, в конечном счете, не устоит.

Криптомания

Рынок ICO стал настоящим откровением для хакеров в 2017 году. Тенденция нападения в наиболее стрессовый для организации момент (сбор средств, рекламные кампании) сохраняется, и с растущим количеством криптовалютных проектов атаки на взлом комбинируются с DDoS. Если рынок эмитирования криптовалютных токенов продолжит свой рост — данная тенденция лишь усилится, полагают в Qrator Labs.

ICO представляют особый интерес для всех рыночных сторон. В этом рынке уже задействованы огромные объемы средств, а техническая сторона реализации многих проектов откровенно слабая. Они постоянно взламываются. Майнинг-пулы атакуются в последние секунды подписи каждого блока с целью получения вознаграждения за подпись блока конкурирующим пулом. Облачные криптовалютные кошельки постоянно под атакой — в течение 2017 года происходили крупные взломы таких сервисов с потерей всех криптовалют их создателями.

Об исследовании

Обзор подготовлен специалистами Qrator Labs при информационной поддержке компании "Валарм" на основе мониторинга ситуации в отрасли, а также на базе статистики, собранной по клиентам компаний в 2017 году.

В даркнете можно заказать DDoS-атаку за $10 в час

Исследователи безопасности из компании Armor опубликовали[17] в марте 2018 года отчет о подпольных рынках в даркнете. Эксперты изучили расценки на самые популярные виды хакерских товаров и услуг[18].

Согласно докладу, DDoS-атаку можно заказать всего за $10 в час, $200 в день или за $500 - $1 тыс. за неделю. Исследователи также обнаружили в продаже банковские ботнеты (аренда стоит $750 в месяц), наборы эксплоитов ($1400 в месяц), эксплоиты для уязвимостей в WordPress ($100), скиммеры ($1500) и хакерские обучающие программы ($50).

Наиболее распространенным товаром в даркнете остаются данные банковских карт. Цена варьируется в зависимости от страны происхождения.

Различная информация о кредитных картах, часто полученная с помощью вредоносных программ для PoS-терминалов или в интернете, стоит дешевле, однако полные данные, необходимые для создания копий карт, обойдутся в два или три раза дороже.

Мошенники также могут купить доступ к взломанным банковским счетам. Цены на счета варьируются в зависимости от суммы денег, которая на них хранится. Злоумышленники используют банковские трояны для получения доступа к счетам, а мошенники, в свою очередь, покупают доступ, приобретают с помощью карт различные товары, а затем перепродают их, получая прибыль.

Помимо этого, в даркнете можно найти поддельные документы. В частности, речь идет о различных удостоверениях личности, паспортах, водительских правах, гринкартах США, рецептах на лекарства, банковских выписках и пр. Паспорта, удостоверения личности и водительские права обычно являются самыми дорогими, причем наиболее ценными являются документы граждан из стран Северной Америки.

Рынки и форумы «Теневой паутины» также предлагают множество взломанных учетных записей. Доступ к взломанному аккаунту в социальных сетях в среднем стоит около $13. Хакеры могут предлагать доступ к учетным записям в Facebook, Twitter, Instagram, Hulu, Netflix, Spotify, Amazon, Skype и пр.

Американский провайдер подвергся самой мощной DDoS-атаке в истории

Компания Arbor Networks обнаружила крупнейшую DDoS-атаку на одного из американских провайдеров, трафик которой достигал 1,7 терабит в секунду. В ней использовался механизм, открытый в конце февраля, и использованный в предыдущей самой сильной DDoS-атаке, которая произошла 28 февраля, сообщает в марте 2018 года Ars Technica. Специалисты опасаются, что обнаруженный механизм будет часто использоваться для таких мощных атак в ближайшем будущем[19].

Во время DDoS-атаки злоумышленники направляют с множества компьютеров на серверы жертвы так много запросов, что серверы перестают справляться и становятся недоступными для пользователей. Помимо этого их опасность заключается в том, что сервер может повести себя нештатно и, к примеру, выдать злоумышленникам часть данных.

Существует множество методов DDoS-атаки, в том числе атаки, при которых злоумышленник обращается к публичным серверам и подменяет свой адрес на адрес жертвы. В результате эти серверы посылают ответные пакеты уже не злоумышленнику, а жертве. Этот вид атаки может использоваться вместе с усилением — это значит, что на каждый посланный запрос сервер посылает жертве пакет большего размера. В зависимости от метода коэффициент усиления может достигать десятков и даже сотен раз.

В конце февраля несколько интернет-компаний обнаружили новый, еще более мощный вариант этого механизма. На этот раз злоумышленники стали использовать незащищенные Memcached-серверы, используемые для кэширования и ускорения загрузки некоторых данных. Главное отличие заключалось в коэффициенте усиления — в некоторых случаях он достигал уже более пятидесяти тысяч раз. К примеру, исследователи воспроизвели атаку и смогли добиться 750-килобайтного ответа на 15-байтный запрос. Стоит отметить, что такой способ атаки был описан китайскими исследователями еще в 2017 году.

Зафиксирована первая «настоящая» DDoS IPv6 атака

Сеть DNS-службы Neustar стала жертвой первой зафиксированной «настоящей» IPv6 DDoS-атаки. Источниками «атаки по словарю» являются порядка 1,9 тыс. узлов IPv6, принадлежащих к более чем 650 сетям. Об этом в марте 2018 года сообщило издание SC Magazine UK[20].

По словам представителей Neustar, данная атака примечательна тем, что злоумышленники используют новые методы вместо копирования уже существующих, однако с применением IPv4. Атаки IPv6 могут причинить серьезный вред, например, превысить объемы памяти современных средств безопасности за счет большого количества адресов, доступных хакерам.

В общей сложности IPv6 содержит более чем в 7.9×1028 раз больше адресов чем IPv4, который использует 32-битные адреса и позволяет организовать порядка 4,3 млрд адресов. Таким образом количество потенциальных атак также вырастает в разы. При этом, множество сетей, поддерживающих протокол IPv6, не поддерживают инструменты для противодействия хакерам.

Как отметили специалисты, в текущем году наблюдается значительный рост количества IPv4 атак – оно удвоилось в сравнении с аналогичным периодом 2017 года.

2017

Qrator Labs: Рейтинг устойчивости национальных сегментов интернета

В начале июля компания Qrator Labs по результатам исследования национальных сегментов 244 стран мира составила рейтинг государств в порядке возрастания показателя, отражающего зависимость доступности национальных сегментов интернета от отказов в работе наиболее значимых операторов связи.

Рейтинг устойчивости национальных сегментов сети интернет впервые был представлен Qrator Labs в 2016 году. Для расчета показателя по каждой исследуемой стране на основе данных сервиса Maxmind была составлена карта, на которой все операторы связи были распределены по национальным сегментам интернета. В этом году дополнительно была проведена процедура нормировки — оценивался не столько факт присутствия оператора в конкретном регионе, сколько значимость этого присутствия в заданном национальном сегменте.

На следующем этапе с использованием модели отношений между операторами связи проекта Qrator.Radar для каждого оператора был сделан расчет степени влияния отказа его работы на конкретный национальный сегмент (какой процент национальных операторов, или автономных систем, станет недоступным в глобальной сети в случае отказа этого оператора).

Далее для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента операторов заданного национального сегмента. Эти операторы перечислены в третьем столбце таблицы, приведенной ниже.

Топ-15 стран по устойчивости национальных сегментов сети интернет
Место в рейтинге Страна Оператор связи (номер Автономной Системы) Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, %
1 Германия (DE) Versatel (8881) 2.29696
2 Гонконг (HK) Level 3 Communications (3356) 2.65659
3 Швейцария (CH) Swisscom (3303) 3.57245
4 Канада (CA) Bell Backbone (577) 3.67367
5 Франция (FR) Cogent (174) 3.68254
6 Великобритания (GB) Cogent (174) 3.76297
7 Бельгия (BE) Telenet (6848) 3.93768
8 Украина (UA) UARNet (3255) 3.95098
9 США (US) Cogent (174) 3.97103
10 Бангладеш (BD) Fiber @ Home (58587) 5.29293
11 Румыния (RO) RTD (9050) 5.35451
12 Бразилия (BR) - новичок Telefonica (12956) 5.39138
13 Россия (RU) Rostelecom (12389) 5.73432
14 Ирландия (IE) Cogent (174) 5.87254
15 Чехия (CZ) SuperNetwork (39392) 5.88389
«Результаты этого года показывают, что тенденции остаются неизменными: в верхней части таблицы, как и в 2016 году, оказались страны, в которых телекоммуникационный рынок является зрелым и характеризуется высокой степенью диверсификации. В этих странах присутствует большое количество операторов связи, поэтому сбой в работе даже крупного провайдера окажет влияние лишь на небольшое число других сетей», — прокомментировал итоги исследования Александр Лямин, генеральный директор Qrator Labs.

В 2017 году компания отметила еще одну тенденцию — растет значение региональных операторов из разряда Tier-2. В некоторых странах они стали играть роль ключевых, сместив лидеров рынка уровня Tier-1.

«К примеру, в Германии крупнейший оператор связи — Deutsche Telekom, но более существенное влияние на глобальную связность национального сегмента оказывает другая компания — Versatel. Это говорит о том, что рынок продолжает развиваться и диверсифицироваться», — подчеркнули в Qrator Labs.

"Лаборатория Касперского": Обзор рынка и стоимости DDoS-сервисов

«Лаборатория Касперского (Kaspersky)» опубликовала в марте 2017 года обзор рынка DDoS-сервисов, их расценок и предлагаемых услуг. В публикации особо отмечается, что подобные ресурсы выглядят как сайты вполне легитимных ИТ-компаний, со всеми разделами и функциями, какие только можно было бы от них ожидать, не исключая «личные кабинеты»[21].

Системой Kaspersky DDoS Intelligence в первые три месяца 2017 года были зафиксированы атаки по целям, расположенным в 72 странах мира.

Распределение уникальных мишеней DDoS-атак по странам:

Первое место по числу серверов управления ботнетами остается за Южной Кореей, а на второе вышли США. Нидерланды впервые c апреля 2015 года вытеснили из тройки лидеров Китай, который опустился на седьмую позицию. Россия осталась на четвертом месте. Кроме того, из десятки стран с наибольшим числом командных серверов вышли Япония, Украина и Болгария. Вместо них появились Гонконг, Румыния и Германия.

Распределение по операционным системам в этом квартале тоже изменилось. Потеснив ботнеты из устройств Интернета вещей на Linux, на первый план вышли Windows-боты: их доля выросла с 25% в прошлом квартале до 60% в январе-марте 2017.

За отчетный период не было зарегистрировано ни одной атаки с усилением, зато наблюдался рост числа атак с использованием шифрования. Это соответствует прошлогодним прогнозам «Лаборатории Касперского»: набирают популярность сложные DDoS-атаки, которые нелегко обнаружить стандартными защитными инструментами.

В целом, начало года было довольно тихим — наибольшее число атак (994) наблюдалось 18 февраля, а рекорд по продолжительности нападения составил всего 120 часов. Это значительно меньше, чем в четвертом квартале 2016 года: тогда самая продолжительная атака длилась 292 часа.

«Эти веб-сервисы представляют собой полностью функциональные веб-приложения, которые позволяют зарегистрированным клиентам... планировать бюджет на DDoS-атаки. Некоторые операторы даже предлагают бонусные баллы за каждую атаку, проведенную с помощью их сервиса. Иными словами, у киберпреступников есть свои программы лояльности и обслуживания клиентов», — говорится в публикации антивирусной компании.

Владельцы подобных сервисов предлагают организовать атаки на любые ресурсы, с сохранением полной анонимности клиентов и бесплатным тестированием атаки в течение 15 минут.

Проведение DDoS-атак в последние годы резко подешевело: интернет изобилует ботнетами, используемыми и для проведения атак, и для распространения вредоносного ПО и спама.

В среднем, по подсчетам «Лаборатории Касперского» с клиента просят около $25 в час, притом, что реальная себестоимость атаки, по мнению экспертов, намного ниже.

В своих расчетах авторы публикации на SecureList исходят из примерных расходов злоумышленников на инфраструктуру. В качестве примера приводятся расценки на использование облака Amazon EC2.

Цена на виртуальный выделенный сервер с минимальной конфигурацией (а для DDoS-атаки важнее ширина канала связи, а не конфигурация рабочей станции) составляет около $0,0065 в час. Соответственно, 50 виртуальных серверов для организации DDoS-атаки малой мощности на онлайн-магазин обойдется киберпреступникам $0,325 в час. Учитывая дополнительные расходы (например, на SIM-карты для регистрации аккаунта и привязки к нему кредитной карты), часовая DDoS-атака с использованием облачного сервиса обойдется преступникам в $4.

Соответственно, реальная стоимость атаки с использованием ботнета, насчитывающего 1 тыс. рабочих станций, стоит около $7 в час. Это означает, что организаторы DDoS-атак получают прибыль в размере порядка $18 за каждый час атаки.

В действительности стоимость DDoS-атаки варьируется довольно заметно, в зависимости от ряда факторов. Атаки на государственные ресурсы обойдутся, скорее всего, дороже, чем на онлайн-магазины, и к тому же далеко не все операторы ботнетов согласятся подобные атаки проводить: такие ресурсы находятся под постоянным наблюдением правоохранительных органов, а киберпреступники не очень хотят «светить» свои ботнеты.

Если атакуемый ресурс находится под защитой специализированного сервиса, фильтрующего мусорный трафик, стоимость, скорее всего, возрастет многократно. На одном из сервисов атака на обычный сайт предлагается по цене $50-100, однако, если есть защита от DDoS, цена сразу вырастает до $400. Некоторые сервисы даже предлагают блокировку домена на уровне регистратора, но это самая дорогостоящая услуга — клиенту она будет стоить от $1 тыс. и более.

Важный фактор — это также и состав ботнета. Создание и поддержка ботнета из 1 тыс. персональных компьютеров (а тем более 100 серверов) обходится существенно дороже, чем поддержка вредоносной сети, состоящей из 1 тыс. видеокамер с уязвимой прошивкой.

Наконец, на ценообразование влияет сценарий атаки (например, клиент может попросить время от времени переключаться с SYN-флуда на UDP-флуд или использовать одновременно сразу несколько вариантов атаки), и географическое положение заказчика. За организацию атаки с жителя США, например, попросят больше, чем с жителя России.

Интересно, что некоторые сервисы по организации атак даже публикуют общее количество своих клиентов, и их могут быть десятки тысяч. Свои услуги киберпреступники рекламируют без обиняков. «Предлагаем вашему вниманию услуги по устранению сайтов и серверов конкурентов при помощи DDoS-атаки", — гласит запись на главной странице одного такого ресурса.

Желающие платить за подобную форму давления существуют, и они явно готовы выкладывать круглые суммы за DDoS-атаки: в 2016 г. самая длительная DDoS-атака продолжалась 292 часа — около 12 дней.

Со своей стороны, злоумышленники иногда не гнушаются одновременно предлагать услуги защиты от DDoS-атак, равно как и требовать деньги за несовершение или прекращение уже начатой атаки.

2016

Данные "Лаборатории Касперского"

По данным «Лаборатории Касперского», в 2016 году DDoS-атаки зафиксировал каждый четвертый банк (26%). Для финансовых организаций в целом этот показатель составил 22%. По данным исследования, средний ущерб от DDoS-атаки для банков составил 1 172 000 долларов, в то время как для предприятий других сфер — 952 000 долларов.

При этом 52% пострадавших столкнулись с недоступностью или ухудшением качества работы публичных веб-сервисов на продолжительное время – от нескольких часов до нескольких дней. И как минимум в 43% случаев DDoS-атака использовалась как маскировка при проведении других вредоносных операций. Целью подобных атак чаще всего становятся сайты банков – они были затронуты в половине зафиксированных случаев (49%). Однако это не единственное уязвимое место. Почти такое же количество респондентов (48%) подверглись DDoS-атакам на свой интернет-банкинг и онлайн-сервисы.


По данным «Лаборатории Касперского», в третьем квартале 2016 г. от DDoS-атак пострадали веб-ресурсы в 67 странах мира. Абсолютное большинство их (97%) пришлось всего на три страны: Китай, США и Южную Корею. При этом Китаю «досталось» больше всех — 63% DDoS-атак были нацелены на ресурсы именно этого государства. На фоне тройки лидеров число атак, зафиксированных в России, выглядит неубедительно, однако по сравнению с предыдущим кварталом оно заметно увеличилось — с 0,8% до 1,1%.

Между тем, Китай бьет рекорды и по другим квартальным показателям. Так, самая долгая атака в отчетном периоде продолжалась 184 часа (7,6 дня) и была нацелена на китайского провайдера. А популярный китайский поисковик стал рекордсменом по числу DDoS-атак на одну и ту же цель — за третий квартал ресурс был атакован 19 раз.

В целом же эксперты «Лаборатории Касперского» заметили увеличение числа «умных» атак, которые используют защищенные https-соединения и таким образом избегают распознавания защитными системами. Чаще всего при подобных DDoS-атаках злоумышленники создают сравнительно небольшие по объему потоки запросов к «тяжелой» части веб-сайтов — например, к поисковым формам — и отправляют их с использованием https-протоколов, защищенных шифрованием. Системы распознавания и предотвращения DDoS-атак, в свою очередь, зачастую не способны расшифровывать трафик «на лету» и пропускают все запросы на сервер веб-ресурса. Таким образом, запросы атакующих остаются незамеченными, и DDoS-атака становится успешной даже при низкой интенсивности, пояснили в компании.

Еще одной тенденцией остается увеличение доли атак с Linux-ботнетов — в третьем квартале она выросла на 8 процентных пунктов и достигла к октябрю 79%. Это отчасти коррелируется с ростом популярности и без того самого распространенного метода SYN-DDoS, для которого Linux-ботнеты являются наиболее подходящим инструментом. Однако на Linux сегодня работают и многие устройства интернета вещей, например, маршрутизаторы, которые все чаще оказываются замечены в составах различных бот-сетей. Именно поэтому особое внимание экспертов привлекла публикация исходного кода ботнета Mirai, который содержит встроенный сканнер, находящий уязвимые устройства интернета вещей и включающий их в состав ботнета.


Вероятность того, что компания, один раз ставшая жертвой DDoS-атаки, подвергнется ей еще раз, весьма высока. Это подтверждают 77% российских организаций, неоднократно испытавших на себе действие этой угрозы в течение года, при этом более трети (37%) компаний были атакованы четыре или больше раз. Эта статистика подтверждает тот факт, что защитные инструменты от DDoS-атак обязательно должны входить в систему безопасности компании, и важным критерием их эффективности является способность обеспечить непрерывность работы корпоративных онлайн-сервисов непосредственно во время атаки, подчеркнули в компании.

Что касается продолжительности DDoS-атак, то в 40% случаев они длятся не более часа, а в 13% — до нескольких недель. Чаще всего жертвами этого вида угроз в России становятся компании, активно использующие различные веб-сервисы для своей основной деятельности — предприятия электронной коммерции, финансовые учреждения, государственные органы, СМИ. Также зачастую с DDoS-атаками сталкиваются высокотехнологичные организации, такие как телекоммуникационные и ИБ-компании.

Негативно влияет на репутацию компаний не только сам факт атаки, но и то, что нередко они узнают о ней от внешних источников: в 21% случаев — от клиентов, а в 29% случаев — от подрядчика, проводящего анализ защищенности ИТ-инфраструктуры организации. По мнению экспертов «Лаборатории Касперского», это неудивительно, ведь чаще всего киберпреступники атакуют внешние ресурсы: клиентские порталы (40%), коммуникационные сервисы (36%) и сайты (52%).

Данные Qrator Labs

Динамика DDoS-атак в 2015 — 2016

Динамика DDoS-атак в 2015 — 2016

Бум стартапов и последующий рост числа подключённых устройств — это новое поле богатых возможностей, где можно создать не один ещё более крупный и опасный ботнет. В 2016 году внезапно появился считавшийся недостижимым терабит в секунду.

Одновременно заметно упал уровень необходимого опыта и знаний для организации DDoS атак. Сегодня для осуществления удачной атаки даже на крупные сайты и приложения достаточно видеоинструкции на YouTube или немного криптовалюты для оплаты услуг сервиса типа booter. Поэтому в 2017 году самым опасным человеком в сфере кибербезопасности может оказаться, например, обычный подросток с парой биткойнов в кошельке.

Амплификация

Для увеличения мощности атак злоумышленники амплифицируют атаки. Атакующий увеличивает объём отсылаемого «мусорного» трафика путём эксплуатации уязвимостей в сторонних сервисах, а также маскирует адреса реального ботнета. Типичный пример атаки с амплификацией — это трафик DNS-ответов на IP-адрес жертвы.

Другой вектор — Wordpress, повсеместный и функциональный движок для блогов. Среди прочих функций в этой CMS есть функция Pingback, с помощью которой автономные блоги обмениваются информацией о комментариях и упоминаниях. Уязвимость в Pingback позволяет специальным XML-запросом заставить уязвимый сервер запросить любую веб-страницу из Интернета. Полученный злонамеренный трафик называют Wordpress Pingback DDoS.

Атака на HTTPS не сложнее, чем на HTTP: нужно лишь указать другой протокол. Для нейтрализации же потребуется канал шириной от 20 Гбит/с, возможность обрабатывать трафик прикладного уровня на полной пропускной способности соединения и расшифровывать все TLS-соединения в реальном времени — значительные технические требования, исполнить которые могут далеко не все. К этой комбинации факторов добавляется огромное число уязвимых серверов на Wordpress — в одной атаке можно задействовать сотни тысяч. У каждого сервера неплохое соединение и производительность, а участие в атаке для обычных пользователей незаметно.

BGP и утечки маршрутов

Отцы-основатели Интернета вряд ли могли предвидеть, что он вырастет до своих текущих объёмов. Та сеть, которую они создавали, была построена на доверии. Это доверие было утрачено в периоды бурного роста Интернета. Протокол BGP создавали, когда общее число автономных систем (AS) считали десятками. Сейчас их более 50 тысяч.

Протокол маршрутизации BGP появился в конце восьмидесятых как некий набросок на салфетке трёх инженеров. Неудивительно, что он отвечает на вопросы ушедшей эпохи. Его логика гласит, что пакеты должны идти по лучшему из доступных каналов. Финансовых отношений организаций и политики огромных структур в нём не было.

Но в реальном мире деньги — на первом месте. Деньги отправляют трафик из России куда-то в Европу, а затем возвращают обратно на Родину — так дешевле, чем использовать канал внутри страны. Политика не даёт двум поссорившимся провайдерам обмениваться трафиком напрямую, им легче договориться с третьей стороной.

Другая проблема протокола — отсутствие встроенных механизмов проверок данных по маршрутизации. Отсюда берут корни уязвимости BGP hijacking, утечек маршрутов и зарезервированных номеров AS. Не все аномалии злонамеренны по своей природе, часто технические специалисты не до конца понимают принципы функционирования протокола. «Водительских прав» на вождение BGP не дают, штрафов нет, зато доступно большое пространство для разрушений.

Типичный пример утечек маршрутов: провайдер использует список префиксов клиентов как единственный механизм фильтрации исходящих анонсов. Вне зависимости от источника анонсов клиентские префиксы всегда будут анонсироваться по всем доступным направлениях. Пока существуют анонсы напрямую, данная проблема остаётся труднодетектируемой. В один момент сеть провайдера деградирует, клиенты пытаются увести анонсы и отключают BGP-сессию с проблемным провайдером. Но оператор продолжает анонсировать клиентские префиксы во всех направлениях, создавая тем самым утечки маршрутов и стягивая на свою проблемную сеть значительную часть клиентского трафика. Разумеется, так можно организовывать атаки Man in the Middle, чем некоторые и пользуются.

Для борьбы с утечками в anycast-сетях мы разработали ряд поправок и представили их Инженерному совету Интернета (IETF). Изначально мы хотели понять, когда в такие аномалии попадают наши префиксы, и по чьей вине. Поскольку причиной большинства утечек оказалась неправильная настройка, мы поняли, что единственный способ решить проблему — устранить условия, в которых ошибки инженеров способны влиять на других операторов связи.

IETF разрабатывает добровольные стандарты Интернета и помогает их распространению. IETF — это не юридическое лицо, а сообщество. У такого метода организации есть множество плюсов: IETF не зависит от правовых вопросов и требований какой-либо страны, его нельзя засудить, взломать или атаковать. Но IETF не платит зарплаты, всё участие добровольно. Вся деятельность едва ли выходит на приоритет выше, чем «неприбыльная». Поэтому разработка новых стандартов идёт медленно.

Обсуждать или предлагать черновики стандартов может любой желающий — в IETF нет требований членства. В рабочей группе идёт основной процесс. Когда достигнуто согласие об общей теме, то с авторами предложения начинают обсуждения и доработку черновика. Результат уходит директору области, цель которого — перепроверка документа. Затем документ направляют в IANA, поскольку всеми изменениями протокола управляет именно эта организация.

Если наш черновик с новым расширением BGP пройдёт все круги ада, то поток утечек маршрутов иссякнет. Злонамеренные утечки никуда не уйдут, но для решения этой задачи есть лишь один вариант — постоянный мониторинг.

Прогноз

По статистике, полученной компанией Wallarm (Валарм) Онсек (Onsec) с развёрнутых компанией honeypot'ов, в 2016 году между публичным эксплойтом и его массовой эксплуатацией проходит в среднем 3 часа. В 2013 году этот срок составлял неделю. Злоумышленники становятся всё более подготовленными и профессиональными. Ускорение продолжится, мы ожидаем сокращения этого временного промежутка до 2 часов в ближайшем будущем. И снова лишь проактивный мониторинг способен предотвратить эту угрозу и застраховать от чудовищных последствий.

Взлом и сетевое сканирование уже достигли небывалого масштаба. Всё больше злоумышленников в этом году обзаведётся предварительно отсканированными диапазонами IP-адресов, сегментированных по используемым технологиям и продуктам — к примеру, «все серверы Wordpress». Увеличится число атак на новые технологические стеки: микроконтейнеры, приватные и публичные облака (AWS, Azure, OpenStack).

В следующие один или два года мы ожидаем увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы. Последние несколько лет битвы меча и щита привели к более продвинутым методам нейтрализации. Но отрасль часто забывала о legacy, и технический долг довёл атаки до небывалой простоты. Начиная с этого момента, выстоять против рекордных нападений смогут лишь построенные со знанием дела гео-распределённые облачные системы.

Qrator Labs: устойчивость национальных сегментов Интернета в мире

7 июня 2016 года компания Qrator Labs сообщила о результатах исследования влияния возможных сбоев в работе сетей операторов связи на глобальную доступность национальных сегментов сети интернет.

Исследование проводилось в национальных сегментах 236 стран мира - всех, где действует Интернет. Результатом исследования стал рейтинг стран в порядке возрастания показателя, отражающий степень зависимости доступности[22] национальных сегментов интернета от сбоев в работе отдельных операторов.

Расчет этого показателя для каждой исследуемой страны сделан по следующей методике:

  • первым этапом на основе данных Maxmind составлена карта сетевых префиксов операторов, на которой анонсируемые префиксы распределены по национальным сегментам сети интернет.
  • на втором этапе с использованием системы моделирования работы глобального интернета Qrator.Radar для каждого оператора проведен расчет степени влияния отказа его работы на конкретный национальный сегмент: определялось число префиксов национального сегмента, теряющих глобальную доступность в интернете.

Для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента префиксов заданного национального сегмента. Эти операторы перечислены во втором столбце таблиц, приведенных ниже.

Топ-10 стран по устойчивости национальных сегментов сети интернет[23], (2016)
Рейтинг стран бывшего СССР, (2016)
«
На глобальную доступность национального сегмента сети интернет влияет состояние рынка страны. Чем выше зрелость рынка и степень его диверсифицированности (в частности, чем больше операторов среднего размера имеют доступ к трансграничному переходу), тем стабильнее работа всего национального сегмента.
Александр Лямин, генеральный директор Qrator Labs
»

В половине Америки «лег» интернет после DDoS-атаки на DNS-серверы компании Dyn

21 сентября 2016 г. пользователи интернета в США столкнулись с проблемой – десятки востребованных ресурсов были недоступны, либо работали с ошибками. В их число вошли социальная сеть Twitter, платежная система PayPal, новостной сайт Reddit, музыкальный сервис Spotify и другие[24][25].

Проблемы доступа коснулись жителей густонаселенного Восточного побережья США, где проживает до половины населения страны, частично тихоокеанского побережья и отчасти Великобритании.

Как выяснилось, причиной неполадок была широкомасштабная DDoS-атака на DNS-серверы компании Dyn, которая является провайдером доменных имен. Проблема затронула практически все Восточное побережье США.

DNS-серверы отвечают за связь между доменным именем (например, ya.ru) и IP-адресом (213.180.204.3 соответственно). Если DNS-сервер не может ответить пользователю, браузер не знает, откуда получать информацию. Поэтому эти серверы можно отнести к ключевой инфраструктуре интернета — тем более, если речь идет о крупном провайдере услуг, который используют сервисы с миллионами пользователей[26].

При DDoS-атаке сервер нагружается «мусорным» трафиком, в результате чего для обычных пользователей доступ ограничивается. В случае с провайдером Dyn для атаки использовались устройства «интернета вещей» — камеры, роутеры и так далее.

Часть ответственности лежит и на производителях техники. Они ничего не делают для того, чтобы пользователи изменяли стандартные пароли на камерах, роутерах, принтерах и других устройствах. Из-за этого получить к ним доступ очень просто. В итоге атаки идут с принтеров Xerox и Panasonic, а также камер с роутерами от менее известных компаний.

Действия компании

В 11:10 по всемирному времени (14:10 по Москве) Dyn сообщила на своем сайте, что ее сотрудники начали борьбу с атакой. Компания предупредила, что пользователи могут испытывать неудобства, связанные с задержками DNS-запросов и зонального распространения. В 13:20 по всеобщему времени Dyn заявила, что работа DNS-серверов полностью восстановлена

Какие ресурсы были недоступны

Во время атаки пользователи потеряли доступ к таким востребованным ресурсам, как веб-сервис для хостинга IT-проектов GitHub, сайт для поиска услуг Yelp, онлайн-словарь сленга Urban Dictionary, фотохостинг Pinterest, сервис обмена фотографиями Imgur, сервис по созданию сайтов Weebly, сервис загрузки контента Playstation Network и другим.

Федеральная торговая комиссия США подала в суд на D-Link

Федеральная торговая комиссия США (Federal Trade Commission, FTC) подала иск[27] к тайваньской компании D-Link за то, что производитель не обеспечил безопасность своих продуктов, оставив их уязвимыми к хакерским атакам. Согласно исковому заявлению, D-Link не реализовала необходимые механизмы защиты в выпускаемых компанией маршрутизаторах и подключаемых к интернету видеокамерах, тем самым «поставив под угрозу безопасность тысяч потребителей»[28].

Причиной подачи иска послужило использование киберпреступниками незащищенных устройств «Интернета вещей» (IoT) для создания ботнетов, используемых для осуществления масштабных DDoS-атак. К таковым в частности относится ботсеть Mirai, состоящая из маршрутизаторов, веб-камер и видеорегистраторов с ненадежными заводскими паролями. С помощью данного ботнета в прошлом году были осуществлены мощнейшие за всю историю DDoS-атаки. Кроме того, Mirai использовался для отключения интернета на восточном побережье США.

Сам ботнет Mirai состоял из подключённых к Интернету устройств с парами-логин пароль по умолчанию и достаточно простыми уязвимостями. Мы полагаем, что это — лишь первенец в целом поколении ботнетов на основе Интернета вещей. Даже решение проблемы одного Mirai не поможет. Злоумышленники сначала просто перебирали пароли, теперь ищут уязвимости и бэкдоры, доходит до изучения кода свежей прошивки устройства на предмет возможных «дырок» с последующей их эксплуатацией в течение считанных часов.

2014

Данные Qrator Labs

12 марта 2015 года стали известны результаты исследования киберугроз[29], проведенного по итогам 2014 года компаниями Qrator Labs и Wallarm (Валарм) Онсек (Onsec)[30].

По оценке компании Qrator Labs, представленной в марте 2015 года, 2014 год по количеству высокоскоростных DDoS-атак стал пиковым. Увеличилось и среднее количество DDoS-атак в день: c 18 до 28. Аналитики Qrator Labs считают, что в 2014 году произошел феноменальный рост количества атак со скоростью свыше 100 Гбит/сек. Прогнозируется, что количество таких атак в 2015 году снизится. Эксперты отметили многократный рост инцидентов, связанных с DDoS-атаками за последние 5 лет, атак повышенной сложности, что предполагает возможность увеличения числа атак в 2015 году, минимум на 20%. Рост количества атак связывают, в основном, с обострением конкурентной борьбы.

В 2014 году Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9,519 DDoS-атак. Максимальное число атак в день, направленных на клиентов компании, сократилось со 151 до 131. Среднее количество DDoS-атак в день возросло c 18 до 28.

По словам Александра Лямина, руководителя Qrator Labs, в 2014 году наблюдался рост числа атак повышенной сложности – со скоростью более 100 Гбит/с. В 2015 году высокоскоростные атаки (более 100 Гбит/с) пойдут на спад – пик пройден в 2014 году.

В конкретном случае разговор идет об атаках на входящий канал провайдера с целью: забить его «паразитным» трафиком. Атак такого типа стало меньше, но существенно выросли скорости. В зону риска попадают небольшие операторы связи и хостинг-компании. Доля атак со скоростью более 1 Гбит/с возросла с 2,58% в 2013 году до 5,47% в 2014 году. В 2014 году практически с «нуля» значительно выросли доли атак со скоростью более 10 Гбит/с (с 0,7% до 2,72%), то есть, они наблюдались примерно каждый рабочий день. Число атак более 100 Гбит/с выросло в 11 раз (с 0,1% до 1,32%). Специалисты Qrator отметили, что одной из тенденций, способствующих этому стало упрощение технологии организации DDoS-атак.

DDoS-атаки с помощью ботнетов на серверы и операционные системы остаются по-прежнему наиболее популярными среди злоумышленников. Александр Лямин отметил рост в 2014 году средних и максимальных размеров наблюдаемых ботнетов, что, по его мнению, говорит о возвращении ботнетов-монстров.

Наметился общий тренд по снижению атак класса DNS/NTP Amplification, на которые ранее приходилось более половины всех инцидентов, но злоумышленники активнее начинают нападать на сетевую инфраструктуру операторов.

Общее количество атак, зарегистрированных на компании—клиенты Wallarm (Валарм) Онсек (Onsec) в 2014 году, превышает 750 000. По словам Ивана Новикова, генерального директора Wallarm (Валарм) Онсек (Onsec), в зону риска в 2014-2015 году попали индустрия игр, рекламные сети CPA, электронная коммерция (магазины и аукционы), платежные системы и банки, СМИ. При этом если платежные системы и банки, интернет-ритейлеры и СМИ всегда были целью атак, то теперь заметно возросла активность злоумышленников в секторах, где к информационной безопасности раньше не было повышенного внимания.

Самыми распространенным остаются атаки с помощью ботнетов на сервера и ОС для исчерпания ресурсов сервера. На 50% в 2014 году вырос максимальный размер ботнета, задействованном в одной атаке: с 281 тыс. до 420 тыс. машин. Размер среднего ботнета показал 27% рост (с 1,5 тыс. до 1,9 тыс. машин).

«В 2014 году мы наблюдали случаи нападения непосредственно на сетевую инфраструктуру операторов, к которым они оказались не готовы. Есть гипотеза, что злоумышленники взяли под контроль большое количество чужого мощного сетевого оборудования - несколько сотен тысяч подключенных к Интернету маршрутизаторов и коммутаторов по всему миру, чьи владельцы не поменяли пароль с заводского, установленного по умолчанию. Теперь эти ресурсы без ведома их хозяев используются для масштабных нападений такого рода», - цитирует руководителя Qrator Labs Александра Лямина «Российская Газета».

График агрессивности, 2014

Кроме того, Qrator.Radar по итогам 2014 года зафиксировала рост частоты объемных Volumetric-атак, используемых как адресный инструмент против крупных целей. Широкое распространение этого вида DDoS специалисты Qrator Labs связывают с тем, что технологии атаки стали доступны низкоквалифицированным специалистам.

Массовому распространению способствовало упрощение технологии организации, а также снижение себестоимости Volumetric-атак, в том числе за счет возможности привлекать низкоквалифицированных специалистов. В настоящее время стоимость одной такой атаки снизилась до 10-50 долларов в сутки за 1 ГБ полосу. Наиболее распространенным остается метод усиления (Amplification), используемый для отправки длинных запросов ошибки в конфигурации DNS-серверов. Если раньше для организации объемной атаки требовалось формировать ботнет, то теперь возможность подделать IP-адрес жертвы и отправить запрос на уязвимый DNS-сервер позволяет злоумышленникам тратить значительно меньше ресурсов, в том числе времени на организацию атаки. Судя по всему, детальная схема реализации этих атак становится широкодоступной. В 2013 году популярным инструментом для Volumetric-атак были DNS-амплифиакторы. В 2014 году киберпреступники чаще использовали NTP- и SSDP-амплификаторы.

«График таких объемных атак перестал быть дискретным, и превратился в большую сплошную волну с красивым фронтом. Мы связываем это с тем, что инструменты, реализующие Volumetric-атаки, доступные раньше отдельным группам, вышли на массовый «хакерский рынок»», — прокомментировал Лямин Александр , руководитель Qrator Labs.

Данные Wallarm

Согласно исследованию Wallarm, в 2014 году топ-фаворитов по количеству атак распределился следующим образом: базы данных (атаки в 35% случаев), атаки на клиентов/пользователей веб-сайтов (28%) и различные векторы атаки с возможностью удаленного исполнения кода на сервере (19%).

Уязвимость Simple Service Discovery Protocol превращает миллионы точек доступа, веб-камер и принтеров в инструменты DDoS-атак

Специалисты компании PLXsert сообщили в октябре 2014 года об идущих с июля 2014 года массовых DDoS-атаках, осуществляемых с использованием уязвимости протокола Simple Service Discovery Protocol, который применяется для объявления доступности миллионами устройств, поддерживающих стандарт Universal Plug and Play, — домашними маршрутизаторами, точками доступа, кабельными модемами, веб-камерами, принтерами и т. п. Атака организуется путем передачи специально подготовленного пакета SOAP на уязвимое устройство, в результате чего то отправляет ответный пакет по заданному адресу[31].

Поскольку многие из уязвимых устройств — потребительские, маловероятно, что на них будут установлены заплаты, а в некоторых случаях такая возможность даже не предусмотрена. Учитывая это, специалисты PLXSert прогнозируют, что будут разрабатываться все новые инструменты, облегчающие организацию атак с помощью уязвимых протоколов и создание ботнетов. Такие атаки будет трудно подавлять, поскольку пакеты могут исходить одновременно из массы различных точек.

Чтобы устройство нельзя было задействовать в подобной атаке, специалисты PLXSert рекомендуют заблокировать трафик на порту 1900, используемом уязвимыми протоколами, если UPnP не нужен. В противном случае помогут только заплаты.

Данные Arbor Networks

Компания Arbor Networks представила летом 2014 года данные о DDoS-атаках в глобальной сети в первом полугодии 2014. Статистика неутешительна: и число, и интенсивность атак продолжают стабильно расти.

Так, число DDoS-атак, превышавших на пике трафик в 20 Гб/с, только за первые шесть месяцев нынешнего года превысило общее их число за весь 2013 год. А более чем сто атак первого полугодия 2014 превысили и показатель в 100 Гб/с.

Самая мощная из отмеченных Arbor Networks атак достигала на пике трафика в 154.69 Гб/с и была направлена против цели в Испании. Она использовала принцип отражения запросов NTP. Это сравнительно новая техника атак, основанная на использовании протокола NTP, служащего для синхронизации часов на компьютерах. Протокол NTP отличает то, что на достаточно короткие запросы он выдает развернутые ответы. Соответственно, подделав запрос и указав в нем в качестве отправителя адрес жертвы, можно генерировать очень высокий трафик на указанный IP-адрес. Такие атаки оказались очень популярны в первом полугодии, хотя наибольшее их число пришлось все же на первый квартал-2014. Также обращает на себя внимание рост продолжительности DDos-атак уже в течение этого года. Если в первом квартале средняя атака с объемом трафика свыше 10 Гб/с длилась порядка 54 минут, то во втором – уже 98 минут.

Генеральный директор Технического центра Интернет Алексей Платонов отметил: «DDoS-атаки стали основным «грубым» оружием в корпоративных интернет-войнах, такой дубиной информационной войны. Большие компании стали принимать меры для того, чтобы снизить ущерб от DDoS, но они рассчитаны только на определенную мощность атаки. Соответственно, злоумышленники наращивают мощность, чтобы пробить защиту – идет классическое соревнование брони и снаряда».

2013

Prolexic: Средняя мощность DDoS-атак в этом году выросла в восемь раз

По оценкам специалистов компании Prolexic, занимающейся организацией защиты от распределенных атак, направленных на отказ в обслуживании, в первом квартале 2013 года средняя мощность DDoS-атак составила 48,25 Гбит/с. Это в восемь раз больше, чем в последнем квартале прошлого года.

Мощность атаки на антиспамерскую организацию Spamhaus, оцененная в 300 Гбит/с, как считают в Prolexic, сильно преувеличена, но в марте Prolexic пришлось отражать атаку в 130 Гбит/с. Примерно 25% атак на сайты клиентов Prolexic в первом квартале не превышали по мощности 1 Гбит/с. Однако 11% атак проводилось с мощностью свыше 60 Гбит/с. Организованность и техническая оснащенность атакующих растет, отмечают специалисты. Повысился не только общий объем данных, которыми в ходе DDoS-атаки перегружают канал доступа в Интернет, но и частота отправки пакетов, что создает проблемы не только у непосредственной жертвы атаки, но и у провайдеров, магистральных операторов и компаний, занятых отражением атак.

Количество атак в первом квартале выросло на 1,75% по сравнению с предыдущим кварталом и на 21,75% — по сравнению с первым кварталом 2012 года. При этом выросла доля атак на инфраструктуру провайдеров и операторов связи.

Данные Arbor Networks

Как показало специальное исследование Arbor Networks, характер угроз, связанных с распределенными атаками, меняется во всем мире. По результатам опроса, проведенного в 2013 году, около 70% респондентов, пользующихся услугами ЦОД, сообщили, что столкнулись с DDoS-атаками (в 2012 году таковых было 50%). Одновременно зарегистрировано большое количество атак мощностью свыше 100 Гбит/с. Это весьма дорогостоящие «мероприятия» для рядового злоумышленника, и их обычно организуют «заказчики», активно криминализующие сообщество хакеров, все чаще в политических целях. Значительная часть зарегистрированных инцидентов была направлена на отказ работы приложений — такие атаки теперь наблюдаются регулярно. На 17% увеличилось и число атак на соединения SSL. Около трети респондентов столкнулось с нападениями на DNS-инфраструктуру.

Массированным атакам в 2013 году подвергались ресурсы российских компаний. Достаточно вспомнить серию DDoS-нападений на веб-сайты пяти крупнейших российских банков: в период с 1 по 7 октября 2013 года были атакованы «Альфа-Банк», «Газпромбанк», ВТБ, Сбербанк и Центробанк России. Однако, с тех пор как украинский кризис перешел в острую фазу, число DDoS-атак на ресурсы российских организаций выросло в разы, отмечали участники конференции.

Программно-аппаратные комплексы для защиты от таких атак предлагают несколько компаний: Arbor Networks, Radware, Check Point, а также российская «МФИ Софт». Кроме того, «Лаборатория Касперского (Kaspersky)», BIFIT, Group-IB и Qrator.Radar предоставляют клиентам облачные сервисы защиты от DDoS.

2012

Украина: DDoS-атака – как метод конкурентной борьбы

Около половины DDoS-атак, совершенных на Украине в I полугодии 2012 г., приходилось на сайты представителей бизнеса и торговые площадки. В целом, эксперты зафиксировали 111 атак в украинском сегменте Интернета. Самая продолжительная DDoS-атака в украинском сегменте Интернета длилась более 13 суток.

В мировом масштабе доля Украины как источника DDoS-атак снизилась до 2,8% по сравнению с 12% во II полугодии 2011 г..

Чаще всего заказчиками DDoS-атак являются конкуренты, считают в «Лаборатории Касперского». Дела, открытые правоохранительными органами по факту DDoS-атак, очень редко доходят до суда, признает источник в управлении по борьбе с киберпреступностью МВД. В государственном реестре судебных решений удалось найти лишь одно решение по делу о DDoS-атаке: за блокировку работы платежных систем «ОСМП» и «КиберПлат» в 2009 г. злоумышленник из Белой Церкви был приговорен к трем годам лишения свободы с испытательным сроком в два года.

По оценкам участников рынка, убытки крупных интернет-магазинов от DDoS-атак могут составлять до 300 тыс. долл. в день.

Основная масса хакеров, предоставляющих подобные услуги, – молодые непрофессионалы-одиночки, занимающиеся заражением компьютеров с помощью разработанных самостоятельно или купленных программ, рассказывает администратор «Украинской сети обмена трафиком» (UA-IX) Сергей Полищук. Однако на Украине работают и международные хакерские группировки, управляющие сетями по всему миру. Так, в июле сотрудники российской компании Group-IB заблокировали шесть распложенных в Украине серверов бот-сети Grum, считающейся третьей по величине в мире.

«Положить» сайт на сутки можно за 50-1000 долл. США в зависимости от его посещаемости и уровня защиты серверов. Программу для организации ботнета можно купить за 150 долл. США. Специалисты принимают оплату посредством большинства электронных платежных систем. В Group-IB оценивают доходы хакеров стран СНГ и Прибалтики в 2011 г. в 4,5 млрд долл. США

В Нидерландах предложили легализовать DDoS-атаки

Нидерландская оппозиционная социально-либеральная партия «Демократы 66» выступила летом 2012 года с обескураживающей инициативой, предложив легализовать DDoS-атаки и другие формы проявления несогласия в Интернете и придать им статус акций протеста, закрепив право на подобные «выступления» в Конституции, правда, с ограничениями. Об этом со ссылкой на местные СМИ сообщает агентство РБК.

Однако порядок и реализация форм онлайн-протеста должны быть четко прописаны в законодательстве, отмечают "Демократы 66". Так или иначе, по словам одного из членов партии, Киса Верховена, подобные атаки являются своеобразной демонстрацией, и у него вызывает удивление тот факт, что фундаментальные конституционные права граждан до сих пор не получили распространения в Интернете.

«Демократы 66» уже в ближайшее время планируют завершить работу над законопроектом, после чего он будет внесен на рассмотрение в парламент. В нижней палате парламента страны заседают десять членов партии, в верхней — пять. Позиция других парламентариев не известна.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Korea arrests CEO for adding DDoS feature to satellite receivers
  2. Police cracks down on DDoS-for-hire service active since 2013
  3. Cloudflare Stops Largest HTTP DDoS Attack on Record
  4. Эксперты прогнозируют рост количества DDoS-атак на нефтегазовую отрасль РФ в 2023 году
  5. Global rise in DDoS attacks threatens digital infrastructure
  6. ФБР накрыло 48 доменов DDoS-наемников
  7. Найден способ усиления DDoS-атак в 65 раз
  8. Атаки на сеть: насколько опасна новая киберугроза для Украины
  9. Kaspersky report finds over half of Q3 DDoS attacks occurred in September
  10. DDoS Attacks Increase 180% in 2019 Compared to 2018
  11. The `Great Cannon` has been deployed again
  12. Китай вновь использует для DDoS-атак «Великую пушку»
  13. What is randomly replacing Baidu TongJi (Analytics)'s Javascript code to make DDOS attack on websites on browser?
  14. На каникулы уходят не все: число DDoS-атак продолжает расти
  15. DDoS-атаки во втором квартале 2019 года
  16. Разгромив заказной DDoS-сервис, власти решили покарать и его клиентов
  17. The Black Market Report
  18. В даркнете можно заказать DDoS-атаку за $10 в час
  19. Американский провайдер подвергся самой мощной DDoS-атаке в истории
  20. Зафиксирована первая «настоящая» DDoS IPv6 атака
  21. DDoS-сервисы превращаются в «солидные бизнесы» с бонусными баллами и программами лояльности
  22. Доступность - возможность оператора получать пакеты данных от других операторов. Необходимым условием доступности является наличие префиксов оператора в таблице маршрутизации других операторов связи. Если префиксов нет, пакеты оператору отправить невозможно
  23. Более устойчивым считается тот национальный сегмент, в котором меньше всего префиксов операторов теряют глобальную доступность при возможном отказе сети одного оператора
  24. CNews: В половине Америки «лег» интернет
  25. Extensive DDoS attack against Dyn restarts, could indicate a new use of old criminal tech
  26. Meduza: https://meduza.io/feature/2016/10/24/ddos-ataka-iz-za-kotoroy-ne-rabotali-twitter-spotify-i-drugie-servisy-kto-vinovat
  27. COMPLAINT FOR PERMANENT INJUNCTION AND OTHER EQUITABLE RELIEF
  28. Федеральная торговая комиссия США подала в суд на D-Link
  29. Исследование основано на анализе трафика, проходящего через сеть фильтров Qrator.Radar Qrator с использованием интеллектуальных алгоритмов выявления попыток DDoS-атак (разработка Qrator Labs) и попыток взлома веб-приложений (разработка Wallarm (Валарм) Онсек (Onsec)). Также компании анализируют происходящее за пределами сети фильтрации, собирая информацию от операторов телекома посредством инструмента Qrator Radar, предназначенного для оптимизации работы и проектирования сетей
  30. DDoS-атаки разгоняются
  31. Уязвимость Simple Service Discovery Protocol превращает миллионы точек доступа, веб-камер и принтеров в инструменты DDoS-атак