DDOS атаки на облачные сервисы для вымогательства

Новый тренд 2021 года — атаки на облачных VoIP провайдеров с целью вымогательства. Сегодня сложно найти крупного и среднего оператора, который не подвергался атаке, на Западе атакуют даже мелких.

DDOS атаки на сети средних и крупных VoIP провайдеров были всегда, но такого масштаба и направленности они достигли только в 2021 году.

159ea89e62e8ba96eae5f51c6cb1ea39.jpg

Почему VoIP?

DDOS популярен для любых SaaS и даже просто информационных сайтов. Но если для информационных ресурсов целью DDOS обычно является пропадание сайта и скрытие информации, то для SaaS в дело пошло вымогательство.

Особенно уязвимы к DDOS атакам VoIP провайдеры, ведь голос требователен к качеству интернет канала. При незначительных потерях или джиттере, качество голоса уже упадет. Голос сложнее расположить на чужом хостинге, много специфического софта и оборудования, законодательное регулирование в разных странах.

Учитывая все эти нюансы, вымогатели из даркнета атакуют поочередно всех крупных/средних VoIP провайдеров, и вымогают биткоины (похоже кто-то даже платил). 

Какие виды DDOS атак популярны в сети?

Если максимально кратко рассказывать про DDOS-атаки на VOIP (и не только), то их стоит разделить на три уровня:

1. Атака на переполнение канала связи и перегруз маршрутизаторов. Другое название —  атака через усилители (может быть и UDP и TCP и ICMP, самые популярные UDP). Усилителями выступают открытые DNS и прочие сервера, отвечающие на пакет с поддельным source IP (и отправляющие ответ в сторону жертвы). 

2. Атака на порт порт сервиса на сервере, те-же 5060 UDP для SIP  (или SYN флуд, если это TCP)

3. Атака на прикладной уровень, когда отправляется запрос на действие по SIP или HTTPS

Атаки на Zadarma за последний год

В конце января 2021 сеть Zadarma подверглась первой атаке с целью вымогательства. Атака была достаточно краткосрочной, среднего масштаба (около 20Гбит/сек). На тот момент для её устранения применили фильтры и частичный blackhole. Но примечательно было то, что впервые во время атаки мы получили письмо с требованием выплаты в биткоинах для её остановки.

Понимая, что масштабы будут только расти, мы значительно увеличили ресурсы сети, что и помогло справиться с атакой в начале мая 2021 года, когда суммарная мощность атаки достигала 100Гбит мелкими пакетами.

Продолжалась атака 7 дней с небольшими передышками. 

Атака началась с усиленного трафика (UDP, TCP, ICMP),   на основные SIP сервера, но вектор атаки менялся постоянно. И если с изменением вектора на новые узлы добавить/перестроить защиту было быстро и просто, то когда добавляли атаки 2 или 3 уровня, отразить их было сложнее и дольше.

На второй день атаки изменение вектора атаки и её увеличение привело к краткосрочному успеху атакующих, один из основных дата-центров был практически недоступен около 3х часов, другие испытывали деградацию качества.  Дата-центр открыли для клиентов после усиления защиты, но большинство клиентов не ощутило проблем, так как это происходило в воскресенье 2-го Мая.

Атака происходила одновременно с разных сторон. Например, усиленный трафик на SIP маршрутизаторы и другие популярные IP в сети, одновременно атака на https (разные сайты, что могли найти в домене), в том числе атаки 2 и 3 уровня. Благодаря распределенной сети, большинство клиентов не испытывало проблем с доступом на сайт. Для коммуникации с теми пользователями, у кого не открылся сайт, использовались социальные сети (подписка на страницы сервиса в соцсетях получила наибольший прирост за весь 2021 год).

Все остальные атаки на протяжении недели удавалось оперативно отбивать, в большинстве случаев даже без краткосрочной деградации голосовых сервисов. 

Отбивать атаку удавалось благодаря предварительной подготовке (на опыте прошлых меньших атак): множество внешних каналов в каждом дата-центре (с избыточной скоростью),   маршрутизаторы операторского класса, многократное резервирование, возможность работы как по UDP так и по TCP протоколу.

150 000 $ и атака завершится!

Самое интересное для всех это, конечно, не техническая сторона атак и противодействия, а выдвигаемые требования для остановки DDOS.

Требования атакующих транслировались по e-mail и по мере нарастания атаки росли с 0,5 BTC до 3 BTC (150.000$).  Наша принципиальная позиция — не вступать в переговоры и не платить.  Через неделю после начала все возможности атакующих были исчерпаны и они пропали. В последнем письме написали, как обрушат на нас всю мощь их атаки, и стало понятно, что больше у атакующих ничего нет.

Какие выводы сделали?

В дальнейшем для защиты от атак через «усилители» была значительно усовершенствована фильтрация, как на собственных маршрутизаторах, так и совместно с провайдерами (еще больше расширять каналы уже нет смысла, но теперь и те что есть заполнить намного сложнее). 

Для противодействия атакам 2 и 3  уровня оптимизирована облачная инфраструктура, плюс установлена активная защита в каждом дата-центре (очистка трафика от DDOS).

Также на случай любых атак и неполадок усовершенствовано резервирование со стороны клиентских приложений (чтобы они легче переключались между ДЦ).

Данная атака была не первой и не последней. В 2021 году DDOS атаки на сеть Zadarma происходят в среднем каждых 2–3 месяца, во всех случаях кроме описанного, клиенты их не замечали.

Также Zadarma — далеко не единственный VoIP-провайдер на которого производятся DDOS атаки. Слышали про атаки и на других крупных американских, британских, российских операторов.

Есть информация о прецеденте с небольшим британским оператором, который заплатил вымогателям 1 биткойн, через 3 дня атака на него возобновилась и уже попросили 5. 

Главный вывод один: если у вас SaaS, подумайте о защите от DDOS заранее, и не вступайте в переговоры с вымогателями.

© Habrahabr.ru