DDOS атаки на облачные сервисы для вымогательства
Новый тренд 2021 года — атаки на облачных VoIP провайдеров с целью вымогательства. Сегодня сложно найти крупного и среднего оператора, который не подвергался атаке, на Западе атакуют даже мелких.
DDOS атаки на сети средних и крупных VoIP провайдеров были всегда, но такого масштаба и направленности они достигли только в 2021 году.
Почему VoIP?
DDOS популярен для любых SaaS и даже просто информационных сайтов. Но если для информационных ресурсов целью DDOS обычно является пропадание сайта и скрытие информации, то для SaaS в дело пошло вымогательство.
Особенно уязвимы к DDOS атакам VoIP провайдеры, ведь голос требователен к качеству интернет канала. При незначительных потерях или джиттере, качество голоса уже упадет. Голос сложнее расположить на чужом хостинге, много специфического софта и оборудования, законодательное регулирование в разных странах.
Учитывая все эти нюансы, вымогатели из даркнета атакуют поочередно всех крупных/средних VoIP провайдеров, и вымогают биткоины (похоже кто-то даже платил).
Какие виды DDOS атак популярны в сети?
Если максимально кратко рассказывать про DDOS-атаки на VOIP (и не только), то их стоит разделить на три уровня:
1. Атака на переполнение канала связи и перегруз маршрутизаторов. Другое название — атака через усилители (может быть и UDP и TCP и ICMP, самые популярные UDP). Усилителями выступают открытые DNS и прочие сервера, отвечающие на пакет с поддельным source IP (и отправляющие ответ в сторону жертвы).
2. Атака на порт порт сервиса на сервере, те-же 5060 UDP для SIP (или SYN флуд, если это TCP)
3. Атака на прикладной уровень, когда отправляется запрос на действие по SIP или HTTPS
Атаки на Zadarma за последний год
В конце января 2021 сеть Zadarma подверглась первой атаке с целью вымогательства. Атака была достаточно краткосрочной, среднего масштаба (около 20Гбит/сек). На тот момент для её устранения применили фильтры и частичный blackhole. Но примечательно было то, что впервые во время атаки мы получили письмо с требованием выплаты в биткоинах для её остановки.
Понимая, что масштабы будут только расти, мы значительно увеличили ресурсы сети, что и помогло справиться с атакой в начале мая 2021 года, когда суммарная мощность атаки достигала 100Гбит мелкими пакетами.
Продолжалась атака 7 дней с небольшими передышками.
Атака началась с усиленного трафика (UDP, TCP, ICMP), на основные SIP сервера, но вектор атаки менялся постоянно. И если с изменением вектора на новые узлы добавить/перестроить защиту было быстро и просто, то когда добавляли атаки 2 или 3 уровня, отразить их было сложнее и дольше.
На второй день атаки изменение вектора атаки и её увеличение привело к краткосрочному успеху атакующих, один из основных дата-центров был практически недоступен около 3х часов, другие испытывали деградацию качества. Дата-центр открыли для клиентов после усиления защиты, но большинство клиентов не ощутило проблем, так как это происходило в воскресенье 2-го Мая.
Атака происходила одновременно с разных сторон. Например, усиленный трафик на SIP маршрутизаторы и другие популярные IP в сети, одновременно атака на https (разные сайты, что могли найти в домене), в том числе атаки 2 и 3 уровня. Благодаря распределенной сети, большинство клиентов не испытывало проблем с доступом на сайт. Для коммуникации с теми пользователями, у кого не открылся сайт, использовались социальные сети (подписка на страницы сервиса в соцсетях получила наибольший прирост за весь 2021 год).
Все остальные атаки на протяжении недели удавалось оперативно отбивать, в большинстве случаев даже без краткосрочной деградации голосовых сервисов.
Отбивать атаку удавалось благодаря предварительной подготовке (на опыте прошлых меньших атак): множество внешних каналов в каждом дата-центре (с избыточной скоростью), маршрутизаторы операторского класса, многократное резервирование, возможность работы как по UDP так и по TCP протоколу.
150 000 $ и атака завершится!
Самое интересное для всех это, конечно, не техническая сторона атак и противодействия, а выдвигаемые требования для остановки DDOS.
Требования атакующих транслировались по e-mail и по мере нарастания атаки росли с 0,5 BTC до 3 BTC (150.000$). Наша принципиальная позиция — не вступать в переговоры и не платить. Через неделю после начала все возможности атакующих были исчерпаны и они пропали. В последнем письме написали, как обрушат на нас всю мощь их атаки, и стало понятно, что больше у атакующих ничего нет.
Какие выводы сделали?
В дальнейшем для защиты от атак через «усилители» была значительно усовершенствована фильтрация, как на собственных маршрутизаторах, так и совместно с провайдерами (еще больше расширять каналы уже нет смысла, но теперь и те что есть заполнить намного сложнее).
Для противодействия атакам 2 и 3 уровня оптимизирована облачная инфраструктура, плюс установлена активная защита в каждом дата-центре (очистка трафика от DDOS).
Также на случай любых атак и неполадок усовершенствовано резервирование со стороны клиентских приложений (чтобы они легче переключались между ДЦ).
Данная атака была не первой и не последней. В 2021 году DDOS атаки на сеть Zadarma происходят в среднем каждых 2–3 месяца, во всех случаях кроме описанного, клиенты их не замечали.
Также Zadarma — далеко не единственный VoIP-провайдер на которого производятся DDOS атаки. Слышали про атаки и на других крупных американских, британских, российских операторов.
Есть информация о прецеденте с небольшим британским оператором, который заплатил вымогателям 1 биткойн, через 3 дня атака на него возобновилась и уже попросили 5.
Главный вывод один: если у вас SaaS, подумайте о защите от DDOS заранее, и не вступайте в переговоры с вымогателями.