Первая мировая кибервойна и DDoS-атаки как инструмент борьбы

В начале июля в Сочи прошёл 10-й Южный Инфофорум, одно из центральных российских IT-мероприятий, посвящённый информационной безопасности. В рамках форума директор по развитию направления кибербезопасности EdgeЦентр Артём Избаенков выступил с докладом «Распределённые DDoS-атаки как инструмент кибервойны в политике». 

Особенности современных DDoS-атак

Сейчас все DDoS-атаки глобально можно разделить на 3 категории:

• Атаки на переполнение каналов. Злоумышленники генерируют огромные объёмы трафика, который забивает каналы связи, и из-за этого ресурсы «жертвы» становятся недоступны.
• Переполнение таблиц сессий. Здесь вместо большого объёма трафика генерируются миллионы пакетов в секунду. Сами пакеты весят довольно мало. Но их настолько много, что сетевое оборудование не может их обработать.
• Отказ приложений. Это атаки на уровне L7 модели OSI. Хакеры находят слабые места веб-сервиса или API и точечно бьют по ним. Часто для таких атак не нужно большое количество трафика или пакетов, поэтому их сложно вычислять.

Первая мировая кибервойна

До 2022 года 90% кибератак в России совершалась по коммерческим мотивам. Целью злоумышленников была финансовая выгода. В марте 2022 ситуация кардинально изменилась. На первый план вышли хактивисты — политически мотивированные хакеры, которые атакуют ресурсы не с целью выгоды, а по своим убеждениям.

В прошлом году мы наблюдали колоссальный всплеск таких атак. Сейчас, после небольшого затишья, их число стабильно продолжает расти, хоть и не такими стремительными темпами. При этом хактивисты за год стали умнее: начали применять более сложные атаки, разработали для них специальный софт, в который изначально зашиваются цели.

В 2022 году основная часть политических атак приходилась на центральную часть России. Но за год большинство компаний успело обзавестись надёжной защитой. И сейчас хактивисты переключились на регионы. Их основными жертвами становятся региональные промышленные компании, аэропорты, госсектор.

Тренды DDoS-атак 2023 года

1. Усиление атак на канальную часть. Ошибка многих компаний — защита только одного аспекта своей инфраструктуры и приложений. Например, организация устанавливает только веб-защиту и считает, что этого достаточно, открывая тем самым злоумышленникам множество лазеек.

К защите очень важно подходить комплексно. И в первую очередь нужно защищать именно каналы связи, так как на них сейчас приходится большая часть атак, а настройка защиты может занимать продолжительное время.

2. Рост числа атак на DNS-серверы компании. Это ещё одно слабое место, которое у многих остаётся без защиты. И злоумышленники сейчас активно этим пользуются. А с помощью успешной атаки на DNS можно вывести всю доменную инфраструктуру компании из строя и остановить ее работу.

3. Увеличение длительности и мощности атак. Мы в EdgeЦентр, например, фиксируем атаки мощностью больше 1,2 Тбит/с, более 500 млн пакетов в секунду. При этом идти такие атаки могут больше 10 дней. А генерируются они преимущественно внутри РФ, поэтому их невозможно остановить с помощью геофильтрации.

4. Рост сложных бот-атак. Злоумышленники чаще стали использовать ботов, не чтобы положить ресурс, а чтобы нанести ему вред — например, ухудшить позиции в поисковой выдаче.

Здесь в качестве примера мы можем привести наш кейс. Один из наших клиентов — крупное СМИ, которое входит в топ-10 по популярности. Позиции их сайта в поисковиках неожиданно сильно просели. Команда EdgeSecurity проанализировала трафик и выяснила, что причиной этому стал ботнет. Запросы посылались с более 4 000 виртуальных машин и уникальных IP-адресов. Боты имитировали реальных пользователей и портили поведенческие факторы на определённых статьях этого СМИ.

Мы подключили клиенту антибот. И наша защита успешно заблокировала весь вредоносный трафик, а СМИ вернуло себе хорошее поисковое ранжирование.

Подобных примеров можно привести много. И поэтому сейчас очень важно обеспечивать комплексную, разновекторную защиту.