Рост на 146%

Как отметил технический директор Qrator Labs Артем Гавриченков, в 2019 г. злоумышленники продолжали использовать технологии амплификации, позволяющие им значительно усиливать мощность своих атак. Атакующие отправляют запрос на уязвимый сервер, принадлежащий третьей стороне, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В течение 2019 г. выявлены новые амплификаторы (PCAP), а также на практике впервые зафиксирован уже давно известный в теории вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд).

Такие атаки стали одной из наиболее серьезных сетевых угроз. Трафик амплификации SYN/ACK достигал пиковых значений в 208 млн пакетов в секунду, что соответствует скорости в 170 Гбит/с, а длительность составляла до 11,5 часа. При этом отражение данного типа атак требует целого комплекса мер, что для небольших компаний может создавать не всегда легко преодолимые сложности. При этом для исполнителей применение данных технологий никаких проблем не составляет. Ими пользуются даже злоумышленники подросткового возраста.

Никуда не исчезли и традиционно используемые для организации DDoS-атак ботнеты. Росло как их количество, так и число устройств, которые такой ботнет объединяет. Причем, помимо компьютеров, все чаще используются и устройства интернета вещей, особенно уязвимые. В качестве примера таких устройств Артем Гавриченков привел устройства, созданные на основе "полуфабрикатов" от китайской компании Xiaonmai, где в фирменной прошивке открыт один из портов, к которому любой желающий может получить доступ с использованием широко известных инженерных паролей. А на данной платформе производят видеорегистраторы несколько десятков компаний из разных стран.

Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин также обращает внимание на то, что ботнеты интересны злоумышленникам и потому, что их можно использовать для широкого спектра атак: "Сегодня преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них - реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках, в частности для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример - Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывая контроль над уже взломанными кем-то ресурсами. В настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies".

В 2019 г. выявлен новый потенциальный источник проблем, связанный с использованием так называемых BGP-оптимизаторов, которые перенаправляют трафик, как оказалось, далеко не всегда корректно. Первый громкий инцидент произошел 24 июня, когда трафик многочисленных клиентов оператора Verizon начал идти через инфраструктуру одной небольшой компании, которая с таким объемом не справилась. В итоге многие сервисы оказались недоступными в течение трех часов, среди которых были Cloudflare, Facebook, Akamai, Apple, Linode и Amazon AWS. В январе 2020 г. на одну из точек обмена трафиком в Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой народной республики. "Многие компании в России начинают закупать BGP-оптимизаторы для снижения расходов на трафик, что в свете введения в действие законодательства про точки обмена трафиком и автономные системы может дать очень неприятный кумулятивный эффект", - предупреждают в Qrator Labs.

Другой потенциальной угрозой являются возможные атаки на инфраструктуру промышленных сетей. Как отметил Артем Гавриченков, такие атаки чреваты крупным финансовым ущербом для их потенциальных жертв, что открывает большие возможности для кибервымогателей и шантажистов. Однако организация такой атаки все же требует довольно высокой квалификации от исполнителей и тщательной разведки.

При этом среднее время атаки уменьшилось на 20%. Артем Гавриченков особо отметил, что стало больше атак длительностью менее минуты, своего рода "пробы пера" злоумышленников, которые пытаются осваивать такой инструментарий.

Атаки проводятся по разным мотивам. Среди них, как отметил Артем Гавриченков, есть как корыстные (шантаж, вымогательство, маскировка других действий, например целенаправленной атаки или кражи), так и просто самореклама, хулиганство, политические и идеологические причины, желание не допустить распространения какой-то информации.

Но в целом DDoS-атаки стали рутиной. Генеральный директор Qrator Labs Александр Лямин сравнил их с зимой, которая приходит всегда, но каждый раз по-разному.