Из-за действий киберпреступников в открытом доступе оказались персональные данные 90 % россиян, а суммарный ущерб для экономики страны от кибератак в 2023 и 2024 годах может составить 1 трлн руб., пишет «Коммерсантъ» со ссылкой на заявление зампреда правления «Сбербанка» Станислава Кузнецова.

Источник изображения: Franz Bachinger / pixabay.com

Ситуацию с утечками персональных данных жителей России господин Кузнецов назвал плачевной — их пик пришёлся на прошлый год, а в этом количество утечек стало немного сокращаться. По итогам 2024 года сумма похищенных у россиян средств достигнет 250 млрд руб., и если ситуация не изменится, общий объём ущерба от кибератак в 2023–2024 годах может подойти к отметке в 1 трлн руб. Утечки и кражи средств, по словам господина Кузнецова, имеют «тренд на увеличение».

Пик мошеннических звонков пришёлся на февраль и март этого года, когда их было до 20 млн в сутки; к настоящему моменту их стало 6–6,5 млн, но качество мошеннических схем повысилось. Число обнаруженных и заблокированных фишинговых ресурсов за первые девять месяцев 2024 года выросло на 116 % — хакеры стали размещать их на доменах третьего и более глубоких уровней, что усложняет их выявление.

За первую половину 2024 года на российские организации были совершены 355 тыс. DDoS-атак, и это на 16 % больше, чем за весь 2023 год. Для борьбы с этим явлением российские власти намерены увеличивать объём трафика, который проходит через технические средства противодействия угрозам — в 2030 году он должен достичь 725,6 Тбит/с.

VK запустит до конца года в большинстве сервисов собственную систему защиты от DDoS-атак и бот-активности на основе искусственного интеллекта (ИИ), которая сможет отличать вредоносный трафик от реальных всплесков активности, сообщил «Коммерсантъ» со ссылкой информацию компании. До этого защиту таких проектов, как «VK Видео», ОК, «Дзен», Mail и др., обеспечивал комплекс решений, включающий продукты вендоров информационной безопасности (ИБ).

Источник изображения: Franz26/Pixabay

ИИ-модели, обученные на обезличенных и обобщенных данных о поведении пользователей каждого сервиса VK, будут уже на ранних стадиях выявлять вредоносный трафик, даже если он не отличается от органического. Система также будет выявлять и другую вредоносную активность, включая программы-парсеры (собирают открытые данные о пользователях), программы-брутфорсеры, которые автоматически перебирают пароли от аккаунтов.

Вице-президент по стратегии и инновациям МТС Евгений Черешнев отметил, что противодействие DDoS-атакам обычно не требует ИИ: «Это больше вопрос системной логики управления потоками данных и доступных серверных мощностей». Хотя в борьбе с ботами применение ИИ он назвал закономерным.

Для эффективной работы ИИ-моделей необходимо разнообразие трафика, так как атакующая сторона постоянно меняет свои методики, сообщили в DDoS-Guard. Преимущество специализированных провайдеров заключается в том, что они анализируют трафик тысяч различных доменов и их пользователей, что обеспечивает больше данных для обучения системы защиты.

По словам источника «Коммерсанта», в VK Tech (входит в группу VK) обсуждается вариант продажи системы внешним заказчикам в виде облачного решения. Однако заместитель гендиректора группы компаний «Гарда» Рустэм Хайретдинов считает, что такое решение вряд ли выйдет на рынок, «поскольку изначально разрабатывается для конкретной платформы, ее адаптация может стоить соизмеримо с разработкой новой».

В свою очередь, бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий отметил, что в России пока нет ни одного примера, чтобы компания, которая не специализируется в сфере ИБ, смогла не только разработать, но и развивать своё решение.

В России количество DDoS-атак в III квартале 2024 года увеличилось на беспрецедентные 319 % по сравнению с аналогичным периодом прошлого года, однако их пиковая интенсивность снизилась с 675 Гбит/с до 446 Гбит/с. К 2030 году правительство планирует увеличить пропускную способность технических средств противодействия угрозам (ТСПУ) до 725,6 Тбит/с. Эксперты предупреждают, что требуются более комплексные решения. Простое расширение каналов передачи данных может быть недостаточным для эффективной защиты от кибератак.

Источник изображения: cliff1126 / Pixabay

Согласно исследованию Qrator Labs, которое охватило более 1000 компаний из разных секторов экономики, прирост DDoS-атак был отмечен на всех уровнях: на сетевом и транспортном уровнях увеличение составило 80 %, а на уровне приложений (веб-серверов) — 70 %.

DDoS-атаки представляют собой одну из наиболее серьёзных угроз стабильности ИТ-инфраструктуры. 14 октября 2024 года Роскомнадзор сообщил о мощной зарубежной кибератаке, направленной на системы отечественных операторов связи. Её пиковая интенсивность достигала 1,73 Тбит/с. В ответ на подобные инциденты правительство намерено к 2030 году увеличить пропускную способность ТСПУ до 725,6 Тбит/с. В настоящее время этот показатель составляет 329 Тбит/с, а к 2025 году должен достигнуть 378,4 Тбит/с. Важно отметить, что Роскомнадзор уже несколько лет занимается подключением компаний к системе для защиты от подобных угроз, продолжая развивать российскую инфраструктуру кибербезопасности.

Несмотря на значительное увеличение пропускной способности ТСПУ, эксперты предупреждают, что пропускная способность может оказаться недостаточной для эффективной фильтрации трафика при высоких нагрузках, характерных для сетевых атак. В случае превышения допустимой нагрузки оборудование может работать некорректно и даже привести к отказу в работе каналов передачи данных. Для операторов связи и интернет-провайдеров, активно внедряющих такие системы, это представляет серьёзную угрозу для стабильности их сетей.

Евгений Фёдоров, руководитель продуктового направления компании Innostage, подчеркнул, что для эффективной борьбы с DDoS-атаками требуется комплексный подход: от фильтрации трафика на уровне провайдеров до внедрения решений на уровне инфраструктуры. ТСПУ способны фильтровать аномальный трафик, однако злоумышленники быстро адаптируются к новым методам защиты. «Это можно сравнить с расширением автодорог: чем больше полоса пропускной способности, тем больше машин — пакетов данных, которые смогут пройти», — отметил эксперт. Без интеллектуальной маршрутизации и фильтрации трафика безопасность сети останется под угрозой.

Архив интернета или archive.org — уникальная платформа, сохраняющая всю историю интернета, подверглась хакерской атаке, что привело к утечке данных 31 млн пользователей. Утечка затронула электронные адреса, имена пользователей и пароли. Вскоре после инцидента пользователи социальных сетей начали активно делиться скриншотами главной страницы Archive.org, на которой появилось тревожное сообщение.

Источник изображения: abbiefyregraphics / Pixabay

Около 00:00 по московскому времени пользователи увидели на главной странице Archive.org следующее сообщение: «Вам когда-нибудь казалось, что Internet Archive держится на честном слове и постоянно находится на грани катастрофической утечки данных? Это только что случилось. Увидим 31 миллион из вас на HIBP!».

Источник изображения: Archive.org

После публикации этого сообщения сайт оказался временно недоступен. Позже Брюстер Кейл (Brewster Kahle), основатель Archive.org, сообщил через социальные сети, что платформа подверглась DDoS-атаке. Сайт восстановил свою работу, но обсуждения последствий утечки не утихают.

Хотя DDoS-атака вызвала кратковременные сбои, наибольший резонанс вызвала именно утечка данных, подтверждённая онлайн-сервисом Have I Been Pwned (HIBP), который помогает пользователям проверить, были ли их данные скомпрометированы. HIBP подтвердил, что взлом Archive.org произошёл месяц назад. В результате хакеры похитили 31 млн записей, содержащих электронные адреса, имена пользователей и хэшированные пароли.

Алгоритм bcrypt, который использовался для хэширования паролей, считается одним из самых надёжных методов защиты данных. Однако даже его применение не гарантирует полной безопасности, если пользователи выбирали слабые пароли или использовали их на других платформах. В связи с этим пользователям Archive.org рекомендуется немедленно сменить свои пароли и включить двухфакторную аутентификацию для дополнительной защиты учётных записей.

Компания Cloudflare сообщила об успешном отражении рекордной по объёму DDoS-атаки со скоростью 3,8 Тбит/с. Этот инцидент превзошёл предыдущий рекорд, установленный в ноябре 2021 года, когда на Microsoft была осуществлена похожая DDoS-атака в 3,47 Тбит/с, цель которой состояла в исчерпании пропускной способности ресурса и недоступности его для пользователей.

Источник изображения: Copilot

По данным PCMag, атака стала частью масштабной хакерской кампании, продолжающейся уже более месяца, в ходе которой было зафиксировано более 100 крупных DDoS-атак, скорость которых превышала 3 Тбит/с. В Cloudflare отметили, что смогли отразить эту крупномасштабную атаку благодаря глобальной сети серверов, способной эффективно распределять входящий трафик. Этому также способствовала система, позволяющая в реальном времени анализировать и фильтровать вредоносные данные.

Источник изображения: Cloudflare

Cloudflare не раскрыла имена пострадавших клиентов, однако сообщила, что атаки были направлены на компании из финансового сектора, сферы телекоммуникаций и интернет-услуг. «Обнаружение и смягчение последствий было полностью автономным», — говорится в блоге компании.

В ходе расследования было установлено, что неправомерные действия были организованы с использованием ботнета, состоящего из взломанных интернет-устройств, включая маршрутизаторы Asus и MikroTik, DVR и веб-серверы. Захваченные устройства использовались для генерации огромного объёма трафика, направленного на целевые сайты и приложения. В данном случае ботнет применил протокол UDP (User Datagram Protocol), который позволяет быстро передавать данные, но может быть также использован для создания мощных DDoS-атак, известных как UDP flood.

Анализ непосредственно интернет-трафика показал, что захваченные устройства находились в таких странах, как Россия, Бразилия, Вьетнам, Испания и США. Cloudflare также добавила, что хакеры, вероятно, скомпрометировали домашние маршрутизаторы Asus через недавно обнаруженную уязвимость высокой степени опасности, затрагивающую около 157 000 моделей данных устройств.

Количество DDoS-атак на российские организации в первом полугодии 2024 года увеличилось до 355 тыс., что на 16 % больше по сравнению с показателем за аналогичный период прошлого года. Максимальная мощность одной атаки выросла почти в семь раз и составила 1,2 Тбит/с. Максимальная продолжительность атак снизилась втрое до 35 дней, а средняя продолжительность уменьшилась в 24 раза. Об этом пишет «Коммерсантъ» со ссылкой на данные ГК «Солар».

Источник изображения: Pete Linforth/Pixabay

Исследователи считают, что хакеры стали осуществлять более краткосрочные и целевые атаки. Жертвами разных типов сетевых атак за первые шесть месяцев текущего года становились IT-компании, представители телекоммуникационной отрасли, учреждения госсектора, а также компании из кредитно-финансовой отрасли и энергетики. Количество DDoS-атак на энергетические компании за полугодие подскочило в 19 раз. Отмечается усиление тенденции к росту атак в июле и августе. В Роскомнадзоре подтвердили данные о том, что средняя мощность атак в третьем квартале выросла на 600 Гбит/с по сравнению с предыдущим трёхмесячным отрезком.

В первом полугодии в четыре раза по сравнению с показателем за аналогичный период прошлого года увеличилось количество мультивекторных DDoS-атак, включающих несколько типов атак одновременно. «Этому способствует возросшая доступность ботнетов на чёрном рынке, которая позволяет большему числу злоумышленников организовывать сложные атаки», — считает заместитель директора по продуктовому развитию ГК «Солар» Артём Избаенков.

Доля смешанных мультивекторных атак во втором квартале 2024 года составила 17,7 % от общего количество атак, подсчитали в компании Qrator Labs. При этом во втором квартале прошлого года доля таких атак составляла 9,15 %. В компании отметили, что защищаться от смешанных атак сложнее, поскольку многие поставщики решений для борьбы с DDoS-атаками защищают отдельные IP-адреса, а не инфраструктуру и сети в целом.

После задержания 24 августа французскими правоохранительными органами основателя Telegram Павла Дурова, которому до сих не были предъявлены обвинения, сайты нескольких государственных структур Франции подверглись DDoS-атакам хакерских группировок, пишет РБК со ссылкой на публикацию французского ресурса Le Parisien.

Источник изображения: Vika_Glitter/Pixabay

Атакам хакеров подверглись сайт государственных услуг, Агентство по безопасности лекарственных средств и изделий медицинского назначения (ANSM), Confédération Paysanne (сельскохозяйственный союз), портал ежедневной газеты Voix du Nord, а также система онлайн-записи пациентов к врачам Doctolib. В связи с атаками эти сайты были недоступны всё воскресенье, и на данный момент был восстановлен доступ лишь к некоторым из них.

Эксперт по кибербезопасности Клеман Доминго (Clément Domingo) заявил Le Parisien, что эти атаки были «по сути осуществлены пророссийскими группами», такими как UserSec, RipperSec, Holy League и Cyber ​​​​Army Now, которые взяли на себя ответственность за их выполнение. Он также предположил, что следует ожидать «вероятного усиления этих атак в ближайшие часы и дни».

Как стало известно, Павлу Дурову в воскресенье продлили срок содержания под стражей на 48 часов. Также ожидается, что сегодня прокуратура Франции сделает официальное заявление по его делу. В команде Telegram заявили, что Павлу Дурову нечего скрывать и выразили надежду на его скорое освобождение.

Компания Microsoft сообщила об устранении крупномасштабного сбоя, который затронул множество популярных сервисов, включая почтовый клиент Outlook и игру Minecraft. Проблемы продолжались почти 10 часов, вызвав многочисленные жалобы пользователей по всему миру.

Источник изображения: Pixabay

По предварительным данным, причиной сбоя стала DDoS атака (распределённый отказ в обслуживании), усугублённая ошибкой в системе защиты Microsoft, сообщает BBC. Компания признала, что их меры безопасности не только не смогли предотвратить атаку, но и усилили её негативное воздействие.

«Хотя первоначальным событием, послужившим причиной, была DDoS-атака, расследование показывает, что ошибка в реализации наших защитных мер усилила воздействие атаки, а не смягчила его», — говорится в официальном заявлении Microsoft.

Данный инцидент произошёл менее чем через две недели после глобального сбоя, вызванного некорректным обновлением программного обеспечения компанией по кибербезопасности CrowdStrike, в результате которого около 8,5 миллионов компьютеров на базе операционных систем Microsoft вышли из строя.

Эксперт по компьютерной безопасности, профессор Алан Вудворд (Alan Woodward) выразил удивление по поводу масштабного сбоя: «Кажется немного сюрреалистичным, что мы столкнулись с очередным серьёзным сбоем в работе онлайн-сервисов Microsoft. Можно было бы ожидать, что сетевая инфраструктура Microsoft будет защищена от подобных "бомб"».

Ранее на сайте компании появилось оповещение, в котором говорилось, что сбой затронул Microsoft Azure (платформу облачных вычислений) и Microsoft 365, в который входят такие приложения, как Microsoft Office и Outlook. Также пострадали облачные системы Intune и Entra.

Компания Microsoft заявила 31 июля, что проблема исправлена и будет осуществляться мониторинг за ситуацией. «Мы искренне приносим извинения за причинённые неудобства», — говорится в сообщении на X (ранее Twitter).

Во II квартале 2024 года рост количества DDoS-атак на ресурсы российских компаний составил 43 % квартал к кварталу и 63 % год к году, пишет Forbes со ссылкой на статистику DDoS-Guard. Отечественный бизнес недооценивает опасность этого явления: почти 20 % организаций вообще не имеют никакой защиты от DDoS-атак.

Источник изображения: Franz Bachinger / pixabay.com

В статистику DDoS-Guard попали атаки уровней L3 (сетевой уровень, атаки на оборудование), L4 (транспортный уровень, атаки на каналы связи) и L7 (прикладной уровень, атаки на веб-приложения, с которыми взаимодействуют пользователи), причём атаки L7 «традиционно превосходят остальные в три-четыре раза», отметили в компании. Для оценки расходов российских организаций на защиту от DDoS-атак в DDoS-Guard проанализировали открытые данные закупок: в течение 2023 года зарегистрированы 114 контрактов на 454 млн рублей, что вдвое выше, чем в предыдущем году. Проведённый в марте 2024 года опрос показал, что 65 % компаний оценивают вероятность атаки на свои ресурсы как высокую или очень высокую, но 20 % их владельцев так ничего и не сделали для защиты от них.

Обращения к специалистам иногда происходят уже после того, как компания пережила такой инцидент и отбилась от атаки своими силами. Известны также случаи, когда компания располагает средствами защиты от DDoS-атак, отказывается от них «за ненадобностью» и в считанные дни после этого переживает атаку. Это значит, что злоумышленники осуществляют мониторинг потенциальных жертв и выбирают самые простые цели — иногда их провоцирует переход объекта от одного поставщика услуг по защите от DDoS-атак к другому, менее опытному и более дешёвому.

В 2022 году наиболее востребованной защита от DDoS-атак была у IT-компаний, на которые приходились 49 % затрат, вторыми были университеты (13 %), а третьими — государственные организации. В 2023 году доля IT-компаний упала до 31 %, вторыми стали представители энергетической отрасли (29 %), а третьими оказались МФЦ (22 %). В 2023 году снизился интерес к облачным средствам защиты от DDoS-атак — заказчики стали выбирать подключение в режиме On-Premise с возможностью установки оборудования или ПО провайдера в защищённый периметр заказчика, хотя это обходится на 15 % дороже. По другим оценкам, интерес к первым не снизился, но популярность вторых решений действительно выросла.

Источник изображения: Cliff Hang / pixabay.com

В некоторых компаниях степень угрозы DDoS-атак недооценивается — их называют «пережитками прошлого», говорят в Angara Security, хотя с 2021 года их мощность выросла пятикратно, а продолжительность утроилась. В Servicepipe квартальный рост общего числа DDoS-атак по итогам апреля–июня 2024 года оценили в 47 %, причём данные сильно разнятся по отраслям: интернет- и облачных провайдеров за этот период времени стали атаковать в 2,3 раза чаще; на 50 % выросло количество атак уровней L3 и L4. В этом году отметилась тенденция на «ковровые атаки» на представителей финансового сектора, которая усилилась во II квартале, а спрос на средства защиты вырос у коллекторских агентств и операторов ЦФА.

Указанные тренды на динамику DDoS-атак подтвердили в МТС RED: квартальный рост, по подсчётам компании, составил 56 %, годовой — почти 80 %. Чаще всего, добавили в МТС RED, атакам подвергались ресурсы организаций сферы IT и телекоммуникаций (33 % случаев), финансового сектора (21 %) и промышленного направления (13 %). Злоумышленники стали действовать более целенаправленно, выводя из строя критическое оборудование. Участились атаки на сервис-провайдеров, сообщили в Security Vision, — это позволяет нанести ущерб сразу большому количеству их клиентов. В качестве средств атаки используются ботнеты заражённых IoT/IioT-устройств, арендованные или взломанные облачные ресурсы.

Существует и государственная программа борьбы с DDoS-атаками. Подведомственный Роскомнадзору Главный радиочастотный центр (ГРЧЦ) разработал Национальную систему противодействия DDoS-атакам (НСПА) — она осуществляет постоянный мониторинг трафика и блокирует попытки вредоносных соединений. НСПА защищает государственные учреждения, финансовые и транспортные компании, ресурсы СМИ и операторов связи.

Накануне, 20 июня, произошла кибератака на Национальную систему платежных карт (НСПК) — самая масштабная на финансовые структуры РФ за последние годы, считают эксперты. В течение нескольких часов не проходили или проходили не с первого раза некоторые платежи в интернете и переводы через СБП. Серьёзного ущерба инцидент не причинил, но для предотвращения таких кибератак в дальнейшем потребуются дополнительные меры защиты.

Источник изображения: WELC0MEИ0 / pixabay.com

Сбои в работе некоторых сервисов НСПК начали проявляться 20 июня около 10:00 мск. Не проходили некоторые платежи через банковские карты и СБП — последняя заработала в штатном режиме к обеду, а восстановление службы 3D Secure для подтверждения платежей через интернет заняло более продолжительное время. В НСПК факт инцидента подтвердили и уточнили, что это была инфраструктурная DDoS-атака — специалисты платформы были готовы к ней, поэтому её эффект оказался «кратковременным», а затронуты оказались лишь некоторые службы. Днём ранее та же группа киберпреступников атаковала несколько крупных российских банков, но особого эффекта это не возымело — возможно, это была репетиция, предположили источники «Коммерсанта».

Для атаки на НСПК злоумышленники выбрали метод ковровой атаки, при котором нападение осуществляется на все ресурсы жертвы одновременно — из-за этого перегрузке подвергается всё пограничное сетевое оборудование, и нарушается связанность сетей. Защититься от атаки этого типа сложнее, потому что обычное в таких случаях перенаправление запроса по несуществующему сетевому маршруту влечёт полную недоступность службы. Есть мнение, что реакция специалистов НСПК была неверной — они должны были запустить резервные серверы, но этого не случилось. Возможно, проблема в том, что организаторы атаки были осведомлены об особенностях работы системы платежей, знали, как обойти системы мониторинга, поэтому резервные мощности не подключились.

В последний раз настолько масштабная атака на российские финансовые службы была зафиксирована в сентябре 2021 года — её жертвой оказался провайдер Orange Business Services, который обрабатывал значительную часть банковского трафика по картам. В результате платежи по картам и СБП шли с перебоями в течение трёх часов. Тогда атака, по мнению экспертов, была «значительно мощнее» — она затронула не только интернет-платежи и СБП, но также банкоматы и магазины. На этот раз НСПК оказалась лишь самой заметной целью — инцидент затронул и другие российские организации, включая банки, а также «Ростелеком» и МТС, но заметного ущерба злоумышленники причинить не смогли. Тем не менее, атака оказалась успешной, и причины этого необходимо будет установить, чтобы не допускать таких инцидентов впредь.

В первом квартале 2024 года число DDoS-атак на российские компании удвоилось год к году, пишет «Коммерсантъ» со ссылкой на данные структуры «Ростелекома» ГК «Солар». В основном удар пришёлся на предприятия из критически значимых отраслей, хотя атаки затрагивали и обычных пользователей.

Источник изображения: Pixabay

По данным ГК «Солар», число DDoS-атак в первом квартале составило 119 тыс. Самая продолжительная длилась 11 дней, и её максимальная мощность достигала 724 Гбит/с. Самый большой рост атак был зафиксирован в энергетическом секторе — более 2,5 тыс. DDoS-атак на энергокомпании, что втрое больше, чем в предыдущем квартале и почти на порядок больше год к году. Также хакеры активно атаковали госсектор, финансовый рынок и IT-сегмент. ГК «Солар» отметила, что росту числа атак способствуют распространение технологий интернета вещей (IoT) и «умных» устройств, которые хакеры объединяют в ботнет-сети.

В DDoS-Guard подтвердили тенденцию к росту атак: по её оценке, в первом квартале их количество в целом увеличилось год к году на 29 % до 172,5 тыс., хотя в феврале был отмечен спад. Рост атак будет продолжаться и дальше, поскольку всё больше устройств вовлекаются в ботнеты, полагают в DDoS-Guard: «Роботизированный трафик становится труднее отличить от реальных пользователей».

От кибератак страдают не только компании, но и обычные пользователи. Как сообщают источники «Коммерсанта», 13 марта из-за DDoS-атаки интернет-провайдер «Телинком», работающий в Подмосковье, был вынужден известить абонентов об ограничениях в работе сети. Также в марте выросло количество атак на сайты турагентств и авиакомпаний.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин отметил тренд на локализацию DDoS: поскольку атаки из-за рубежа блокируются, хакеры всё чаще используют российские IP-адреса.

Для противодействия атакам подведомственный Роскомнадзору Главный радиочастотный центр заказал в 2023 году разработку Национальной системы противодействия DDoS-атакам, которую планировалось создать на базе имеющейся сети ТСПУ (технические средства противодействия угрозам). По условиям тендера система должна была быть создана к марту 2024 года, однако о судьбе проекта стоимостью 1,4 млрд руб. пока ничего не известно.

«РИА Новости» со ссылкой на ведомство 14 апреля сообщало, что Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора отразил в первом квартале 512 крупных DDoS-атак, что почти втрое больше, чем за весь 2023 год.

По словам источника «Коммерсанта» на рынке, Роскомнадзор использует для борьбы с сетевыми атаками блокировку по географическому признаку, отсекая трафик, исходящий с территории государств, откуда шла большая часть вредоносной активности, однако, «в силу распределённости современных кибератак блокировка только таким способом уже становится неэффективной».

Из-за массовой блокировки подозреваемых в причастности к DDoS-атакам IP-адресов зарубежные хакеры в массовом порядке переключились на российские адреса, пишет «Коммерсантъ» со ссылкой на доклад Qrator Labs. Источниками атак становятся сетевое оборудование, оборудование хостинг-провайдеров и устройства интернета вещей. Есть опасения, что на хостеров могут возложить ответственность за невольное участие в таких противоправных мероприятиях.

Источник изображения: Franz Bachinger / pixabay.com

Проанализировав ситуацию с DDoS-атаками на российские ресурсы в 2023 году, в Qrator Labs пришли к выводу, что зарубежные хакеры научились обходить блокировки по GeoIP, то есть блокировки трафика по географическому происхождению, и значительная доля источников происходит из близких к жертвам регионов. Но всё ещё велика активность блокировок зарубежных источников: только в IV квартале 2023 года заблокированы 22,3 млн IP-адресов — на 19,25 % больше, чем в III квартале, и на 120 % больше, чем во II квартале. Из-за этого хакеры переключились на «серые прокси-серверы, размещённые в России», и вредоносный трафик начал генерироваться с российских IP-адресов, которые не вызывают подозрения.

Такими прокси-серверами могут выступать взломанное сетевое оборудование, принадлежащее домашним пользователям и хостерам, уязвимые устройства интернета вещей и мобильные гаджеты. Доля российских адресов в DDoS-атаках достигает 50 %, подсчитали в DDoS-Guard — оставшаяся половина приходится преимущественно на Китай, Индонезию и США. Блокировка IP-адресов по местоположению помогает ограничивать доступ к ресурсам, работа которых за пределами определённых регионов не предполагается; в 2022 году многие российские интернет-службы, включая государственные, перестали работать вне отечественного сегмента Сети.

Российские хостинг-провайдеры отмечают рост спроса на недорогие виртуальные серверы — это свидетельствует, что при DDoS-атаках часто используются ресурсы отечественных хостеров. Из-за этого возникают опасения, что регуляторы возложат ответственность на хостинг-провайдеров за использование их ресурсов в незаконных целях.

Некие хакеры взломали около 3 млн умных зубных щёток и запустили полномасштабную DDoS-атаку, сообщила швейцарская газета Aargauer Zeitung. Забавный на первый взгляд инцидент обернулся вполне ощутимой проблемой: ботнет парализовал работу швейцарской компании, причинив ей миллионный ущерб.

Источник изображения: Diana Polekhina / unsplash.com

Издание предоставило не так много подробностей, но известно, что для атаки на умные зубные щётки использовался язык Java, достаточно популярный в сегменте устройств интернета вещей (IoT) — осуществив заражение, злоумышленники развернули атаку. Гаджеты с изменённой прошивкой успешно достигли цели, наводнили сайт швейцарской компании фиктивным трафиком, отключили службы и вызвали масштабный сбой.

Инцидент подчёркивает, что на фоне массового развёртывания интернета вещей ландшафт угроз постоянно расширяется. Умные зубные щётки выпускаются уже десять лет — устройства, которые ранее казались безобидными и вынесенными за границы цифровой экосистемы, теперь становятся потенциальными точками входа для киберпреступников. Это может повлечь значительные последствия для личной жизни и безопасности граждан, а также для национальной инфраструктуры и экономической стабильности.

Многие устройства интернета вещей, предупреждают эксперты, небезопасны по своей сути в силу двух основных причин: легкомысленное к ним отношение и отсутствие интерфейса, который помог бы повысить меры защиты — проще говоря, у зубной щётки отсутствуют настройки безопасности, а на холодильник не получится установить антивирус.

Защититься в отдельных случаях помогут элементарные нормы цифровой гигиены. К примеру, не следует заряжать устройства интернета вещей через общедоступные USB-порты — они могут использоваться для взлома; по той же причине следует опасаться общедоступных сетей Wi-Fi. И, возможно, без насущной необходимости можно обойтись без устройств с подключением к интернету. Если смарт-телевизор сегодня становится таким же естественным явлением, как и смартфон, то стиральная машина, утюг и зубная щётка с выходом в Сеть — это, возможно, излишества.

Обновлено:

Представитель компании Fortinet пояснил ситуацию порталу ZDNET: «Чтобы прояснить ситуацию, тема использования зубных щеток для DDoS-атак была представлена в интервью в качестве иллюстрации определенного типа атак и не основана на исследованиях Fortinet или FortiGuard Labs. Похоже... изложение этой темы было растянуто до такой степени, что гипотетические и реальные сценарии оказались размытыми».

В Рунете были отмечены сверхпродолжительные DDoS-атаки, длящиеся почти два года, пишут «Ведомости». В пятёрку самых долгих зафиксированных сервисом Servicepipe непрерывных DDoS-атак вошли атаки на окологосударственный ресурс (начались ещё 28 февраля 2022 г.), интернет-представительство региональной власти (с 3 марта 2022 г.), площадку, связанную с АЗС (продолжаются с 26 мая 2022 г.), маркетплейс (с 14 июля 2022 г.) и игровой сервис (с 26 февраля 2023 г.).

Источник изображения: TheDigitalArtist/Pixabay

До начала событий на Украине продолжительность атак составляла максимум пару месяцев, сообщил представитель Servicepipe, добавив, что у атак необязательно есть политический мотив. «Как минимум у двух игроков из пятёрки лидеров атака с большой долей вероятности — результат недобросовестной конкурентной борьбы», — заявил собеседник «Ведомостей».

В T.Hunter подтвердили, что такие длительные атаки действительно существуют: «Мы наблюдаем их с конца февраля 2022 г.». По словам экспертов, чаще всего в качестве целей выбирались государственные и банковские сервисы, например, «Госуслуги» и «Сбер».

Одним из наиболее заметных трендов в DDoS-атаках за последний год в «Лаборатории Касперского» назвали увеличение их мощности. Также с 2022 года отмечен тренд на увеличение продолжительности атак, которые вместо нескольких часов могут составлять дни и даже недели. Впрочем, атак длительностью более года в «Лаборатории Касперского» не зафиксировали.

Аналитики Servicepipe также отметили в числе трендов большое количество «заказов» на проведение атак на фиксированный промежуток времени, а также на DDoS-атаки через конкретную уязвимость. «Это говорит о том, что злоумышленники экономят ресурсы и предпочитают атаковать лишь те цели, где могут добиться результата, "положив" сервис», — сообщили в компании.

Гендиректор и сооснователь StormWall Рамиль Хантимиров считает одним из наиболее ярких трендов в минувшем году использование смешанных ботнетов, состоящих из нескольких вредоносных программ, а также увеличение на 43 % DDoS-атак для прикрытия других вредоносных активностей. По его словам, общее число DDoS-атак в России выросло в 2023 году на 29 %.

Группа компаний «Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. В результате было установлен существенный рост доли TCP SYN-флуда, т.е. атак на уровне приложений, количество которых составило 60 % от общего числа DDoS-атак. Главными целями атак стали телекоммуникационные операторы.

Источник изображения: markusspiske / Pixabay

«Злоумышленники всё чаще организуют атаки, которым сложнее противодействовать: с использованием протоколов уровня приложений и в шифрованном трафике. Распространение такой практики свидетельствует о её успешности и достижении атакующими поставленных целей», — говорится в сообщении исследователей.

В сообщении сказано, что чаще всего DDoS-атакам в России за отчётный период подвергались сети телеком-операторов. Это объясняется тем, что операторы интенсивно противостоят DDoS-атакам, осуществляя защиту своих объектов и ресурсов клиентов, которые находятся в той же сетевой инфраструктуре.

На втором месте по количеству DDoS-атак в третьем квартале находятся представители сфер транспорта и перевозок. Отмечается, что за три месяца увеличилось количество DDoS-атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, а также железнодорожных перевозчиков. На третьем месте этого рейтинга находятся ресурсы госсектора. Высокие показатели зафиксированы в топливно-энергетическом комплексе и промышленности. Это может указывать на попытки злоумышленников осуществить воздействие на критический сектор экономики. Являющиеся традиционными целями хакеров представители IT и финансового сектора также подвергались атакам в третьем квартале.

Что касается стран, из которых совершаются атаки злоумышленников, то, как и прежде, лидером остаётся Китай (46,45 %). Следом за ним идут Индия (30,41 %) и Южная Корея (3,5 %). Снизились показатели по количеству атак из США, Тайваня и России. При этом выросли показатели Нидерландов (с 1,08 % до 1,53 %) и Боливии (с 0,89 % до 1,46 %).