Anonymous покушаются на бургеры. DDoS-2022: ждать ли новые серии атак

c51f961eabb80ede381e4983ca46fd64.png

Со второй половины февраля 2022 года в рунете начались волнения. Причиной послужили серии кибератак, из-за которых пострадали государственные организации, банки, интернет-ресурсы СМИ, сервисы дистанционного образования и другие компании.

На Хабре и других порталах опубликованы десятки новостей о DDoS-атаках за февраль, март и апрель. Показатели DDoS-атак рекордные и заслуживают внимания. 

В этой статье мы постарались прояснить ситуацию с помощью данных систем безопасности Selectel, провайдеров security-сервисов и СМИ. За цифрами приглашаем под кат.

Причины и цели DDoS-атак

С декабря 1999 года, то есть с момента появления DDoS, методы реализации кибератак становятся все более ухищренными. На данный момент DDoS-атаки — самые распространенные инциденты в информационной безопасности. Их последствия налицо: отказы отдельных сервисов и целых провайдеров, задержки в банковских транзакциях.

Злоумышленники часто обращаются к DDoS, чтобы подорвать доверие клиентов к сервису-жертве. И это работает: компания, гарантирующая бесперебойное обслуживание, может потерять клиентов даже из-за незначительного простоя своих сервисов. По данным исследования Лаборатории Касперского за 2015 год, 23% компаний считают, что репутационный ущерб — главная опасность для бизнеса.

Нередко фундаментом для серий атак на государственные и банковские веб-ресурсы становятся социальные, политические и экономические проблемы. Конечно, это не все причины. Личная неприязнь, стремление развлечься, желание нажиться тоже провоцируют атаки. Рост атак этой весной связывают в большей степени с внешнеполитической ситуацией.

Новости об атаках: рекорды, злоумышленники и пострадавшие ресурсы

Начиная со второй половины февраля пострадали государственные ресурсы: Госуслуги, РЖД, Роскосмос, сайты федерального и регионального уровней. СМИ, телеком-провайдеры, онлайн-магазины и другие веб-сервисы тоже попали под удар. Вот уже несколько месяцев публикуются новые отчеты и новости о DDoS-атаках.

Злоумышленники не обошли стороной и банковские инфраструктуры. Оно и неудивительно, ведь даже кратковременные сбои в работе банковских сервисов способны привести к финансовым убыткам и вызвать панику у людей. 12 апреля зампред Центробанка Герман Зубарев заявил о росте DDoS-атак на финансовые организации в 22 раза:

«С начала 2022 года по вторую половину февраля совершили 12 таких атак, со второй половины февраля по 12 апреля 2021 — 265».

По словам Зубарева, к началу апреля ситуация стабилизировалась, когда ЦБ заменил иностранное программное обеспечение на российское. О каком ПО идет речь и как именно стабилизировалась ситуация, не уточняется.

Зато известно, что на первую половину апреля на финансовые веб-сервисы приходилось 9% всех атак. Об этом сообщил руководитель направления защиты от DDoS L7 Дмитрий Никонов, представитель компании DDoS-Guard.

Фрагмент митапа Selectel Network Meetup 3Фрагмент митапа Selectel Network Meetup 3

Топ-10 методов кибератак выглядит так:

Hidden text

  1. TCP/UDP flood

  2. HTTP flood

  3. ICMP flood

  4. DNS flood

  5. SYN flood

  6. Deface

  7. Zero day

  8. Backdoor

  9. Malware

  10. Ransomware

Но во сколько раз выросло число именно DDoS-атак?

DDoS-атаки бьют рекорды

Ребята из Лаборатории Касперского провели исследование, которое показывает, что только в марте число DDoS-атак на российские компании оказалось в 8 раз больше, чем за март 2021 года. По данным исследования, средняя продолжительность атак за февраль-март 2022 года составила 29,5 часов, тогда как в феврале-марте прошлого года атаки длились не больше 12 минут.

Теперь представьте: рекордный по времени инцидент длился больше шести суток — 145 часов (подробнее тут). Интересно, сколько энергетиков выпили системные инженеры?  

Вот что думает насчет атак эксперт по кибербезопасности Лаборатории Касперского Александр Гутников:

«В конце IV квартала 2021 года уже фиксировались рекордные для того времени показатели активности злоумышленников, но нынешние цифры значительно превосходят их. По косвенным признакам видно, что в начале всплеска DDoS-атак в них принимало участие большое количество так называемых хактивистов, непрофессиональных хакеров. Со временем их доля в общем числе атакующих снизилась. При этом сами атаки стали более мощными, подготовленными и длительными».

Только по данным за первую четверть 2022 года интенсивность DDoS-атак уровня L7 превысила 10 000 rps, сообщает DDoS-Guard. 

График интенсивности DDoS-атак уровня L7График интенсивности DDoS-атак уровня L7

Кто совершал атаки

Ответственность за некоторые атаки взяли на себя хактивисты из группировки Anonymous. Несмотря на совсем нетривиальное название, организация хакеров стала известной в Интернете. На нее в очередной раз обратили внимание в том числе благодаря мартовской атаке инфраструктуры Бургер Кинга. 

Заявление компании из группы «ВКонтакте»Заявление компании из группы «ВКонтакте»

Короли бургеров показали, как относиться к серьезным проблемам с юмором. Видимо, их обращение сработало. Больше новостей об атаках инфраструктуры сети фастфуда не было, а бургеры готовятся в штатном режиме. 

Но атака бургерной — не единственное злодеяние группировки. Anonymous взяли на себя ответственность за атаки на ресурсы некоторых СМИ: RT, ТАСС, «Известия», «Фонтанка», РБК, «Коммерсантъ», NEWS.ru, «Мел», Е1.ru и др. 

Но как они сумели организовать все эти атаки? Неужели где-то есть подпольный хакерский офис?  

Заходишь на сайт, а компьютер флудит запросами

Ближе к марту в сети появились сайты, позволяющие всем желающим содействовать DDoS-атакам на целевые российские веб-ресурсы. Достаточно просто зайти на сайт, чтобы вредоносный скрипт начал отправлять флуд-запросы на российские порталы.

Нашлись и более интересные инструменты для атак, среди которых сайты с игрой в »2048». Теперь атаковать нескучно.

Скриншот кода с целевыми веб-сайтамиСкриншот кода с целевыми веб-сайтами

Исследователи из Аваст опубликовали статью о сайтах для участия в DDoS-атаках уровня L7. Но есть и другие способы вступить в хакерский кружок. В сети можно найти целые программы, после установки которых компьютер подключается к вредоносному ботнету.

По информации из блога Аваст, только одно приложение для атаки российских сайтов disBalancer установили 900 пользователей Аваста (возможно, уже больше). Как много таких программ сегодня — все еще открытый вопрос.

Аваст отметил, что использование таких программ небезопасно для пользователей. Приложение регистрирует информацию о пользовательской операционке и местоположении хоста, а потом передает по незашифрованному HTTP-протоколу на C&C-сервер. 

Источники атак

Откуда исходят атаки? С этим помог разобраться специалист компании DDoS-Guard Дмитрий Никонов. Во время своего доклада на третьем Selectel Meetup Network Дмитрий показал информативный хитмап, на котором видны источники атак:

Распределение источников атак (данные от 14 апреля 2022 года)Распределение источников атак (данные от 14 апреля 2022 года)

Большое количество атак идет из Европы (в меньшей степени из северной части), а также с восточной и западной частей Северной Америки. Также участвуют Южная Америка и Азия. Видно, что из России тоже исходит часть атак. 

Нельзя сказать, что карта точно отображает первоисточники атак. Потому что есть атаки, организованные через VPN-серверы. Трудно оценить полный масштаб ботнетов из-за ротации устройств, а сами атаки L7 очень сложны в обнаружении и фильтрации.

Тем не менее, 2 марта Национальный координационный центр по компьютерным инцидентам (НКЦКИ) опубликовал список из 17,5 тыс. IP-адресов, которые, предположительно, применяются для проведения DDoS-атак на российские ресурсы. С помощью этих данных и геоблокировки можно отсечь значительную часть нелегитимного трафика. 

Время перемен: стало ли меньше атак

Еще 24 марта сайт РБК опубликовал заявление основателя компании Qrator Labs Александра Лямина. По его словам, интенсивность DDoS-атак на российские компании начала снижаться примерно с 9–10 марта. 

Но сохранилась ли тенденция спада интенсивности атак?

Ситуацию помогли прокомментировать сотрудники технической поддержки Selectel, которые поделились отчетами за март и апрель по DDoS-инцидентам на уровнях L3 и L4. Данные об атаках собирали платформа DDoS-Guard и комплекс защиты Selectel от DDoS-атак, который отражает DDoS на уровне сети.

DDoS-инциденты L3-L4

По полученным данным можно проследить тенденцию DDoS-атак. Для начала посмотрим на график количества DDoS-инцидентов на уровнях L3-L4. 

Данные по инцидентам на L3-L4 DDoS-GuardДанные по инцидентам на L3-L4 DDoS-Guard

Действительно, на вторую половину февраля приходится большая доля атак. Но пошла ли на спад их интенсивность?  

Изменения объемов легитимного и вредоносного трафиков, Мбит/сИзменения объемов легитимного и вредоносного трафиков, Мбит/с

Ниже изображен график только с вредоносным трафиком:

Изменения объема вредоносного трафика, Мбит/cИзменения объема вредоносного трафика, Мбит/c

Трафик DDoS-атак в первую половину марта не превышал 250 тыс. Мбит/c. Остальной трафик система классифицировала как легитимный.

После 12 марта и до 28 апреля комплекс защиты Selectel от DDoS не регистрировала более 50 Гбит/c нелегитимного трафика. Специалисты считают, что это закономерно: длительные и мощные по объему трафика DDoS-атаки на уровнях L3-L4 — недешевая и сложная в реализации забава.

Может показаться, что, если легитимного трафика гораздо больше чем вредоносного, значит, DDoS-атак мало. Но это не так. На графиках представлена информацияпо разным клиентам Selectel, и на всех приходятся разные доли легитимного и нелегитимного трафика.

Продолжительность DDoS-атак

По данным DDoS-Guard, с 1 февраля по 18 мая не было атак продолжительнее 7 часов 26 минут, а 79,5% инцидентов длилось не более 8 минут.

Показания длительности атак на уровне L3-L4Показания длительности атак на уровне L3-L4

Интересно, сокращалось ли время атак с февраля по третий квартал мая? Посмотрим на сводную таблицу за февраль-май 2022 года:

период

максимальное время 

среднее время

мода

февраль

6 часов

13,66 мин

1,5 минуты

март

7 часов 26,5 минут

14,41 мин

1,5 минуты

апрель

1 час 1 минута

5,35 мин

2,5 минуты

май (до 18.05)

1 час 4 минуты

7,66 мин

1,5 минуты

Данные неоднозначны. С одной стороны, видно, что среднее время атак уменьшилось и спад начался со второй половины марта. В первой половине месяца среднее время атак составляло 17,42 мин, а во второй — 8,35 мин, то есть оно сократилось более чем в два раза.

С другой стороны, тенденция нелинейна, так как с апреля по май среднее время выросло на 2,5 минуты. Но и тут нужно учитывать моду, которая сократилась на одну минуту в сравнении с апрелем.

Нелинейная тенденция

Сложно сказать с абсолютной уверенностью, налаживается ли ситуация или нет. Нужно больше данных, в том числе и от других провайдеров. Исследователи из Qrator Labs обозначили, что для прогнозов нужно собирать данные за второй квартал и еще рано что-либо утверждать:  

«Ранее мы писали о наличии устойчивой тенденции сокращения длительности атак, однако похоже, что все изменилось в первом квартале 2022 года ввиду повсеместно растущей вредоносной активности. Во втором квартале 2022 года мы увидим, сохранится ли такая обстановка».

Мы солидарны с ними в этом вопросе. Будем собирать данные и дальше!

В целом, кибератаки были, есть и будут. В прошлом много поучительного опыта, на основании которого провайдеры строят современные системы защиты от DDoS-атак. 

Например, в Selectel организовали механизм автоматической нейтрализации DDoS-атак (от L3 до L7). Весь трафик проходит через нашу систему фильтрации, а клиенты получают легитимный трафик. 

Надеемся, в будущем поводов для таких статей больше не появится. Будем рады вашим вопросам и мнению в комментариях.

Если вам интересна тема информационной безопасности, читайте другие наши тексты:  

→ Подслушано: кибербезопасность в дата-центрах
→ Как просканировать сетевой периметр сервиса с помощью open source- инструментов
→ Ботнет Trickbot облюбовал роутеры MikroTik. Сейчас Microsoft выяснила почему

© Habrahabr.ru