Google отчиталась об успешно отражённой в минувшем августе самой мощной DDoS-атаке в истории — её интенсивность составила 398 млн запросов в секунду, что в 7,5 раза мощнее антирекорда, установленного в прошлом году. В рамках вредоносной кампании были также отмечены новые методы взлома сайтов и сервисов.

Источник изображений: cloud.google.com

В новой серии DDoS-атак использовалась новая техника Rapid Reset, основанная на мультиплексировании потоков — важнейшей функции протокола HTTP/2. Интенсивность атаки достигала значения в 398 млн запросов в секунду, тогда как прошлогодний рекорд составлял «всего» 46 млн запросов в секунду. Для сравнения, в течение этой двухминутной атаки генерировалось больше запросов, чем было прочитано статей «Википедии» за весь сентябрь 2023 года.

Последняя волна атак началась в конце августа и продолжается по сей день — она нацелена на крупнейших поставщиков инфраструктурных ресурсов, включая сервисы Google, сеть Google Cloud и клиентов Google. Компании удалось сохранить работоспособность сервисов за счёт глобальной инфраструктуры распределения нагрузки. Google скоординировала усилия с отраслевыми партнёрами, что помогло установить механизмы атак и совместными усилиями разработать меры по смягчению последствий.

В ходе отражения атаки была выявлена уязвимость протокола HTTP/2, которой присвоили номер CVE-2023-44487 с рейтингом 7,5 балла из 10 — эта уязвимость помогла злоумышленникам реализовать технику Rapid Reset. Чтобы ограничить влияние этого вектора атаки, Google рекомендует администраторам серверов с поддержкой протокола HTTP/2 убедиться, что были установлены патчи, закрывающие уязвимость CVE-2023-44487.

По итогам II квартала число кибератак на российские ресурсы выросло более чем на 40 % по сравнению с аналогичным периодом прошлого года и на 13 % в сравнении с началом 2023 года. Киберпреступники переключились с развлекательной на аграрную, логистическую и образовательную отрасли. Хакеры часто достигают своих целей, потому что методы защиты от кибератак быстро устаревают.

Источник изображения: B_A / pixabay.com

Во II квартале 2023 года было зафиксировано 176,3 тыс. DDoS-атак, сообщили в компании DDoS-Guard. Это на 46 % больше, чем было во II квартале прошлого года (120 тыс.) и на 13 % больше, чем в I квартале 2023 года. В I квартале приоритетными целями киберпреступников были региональные СМИ, онлайн-кинотеатры и игровые серверы, сейчас же чаще атакуют ресурсы вузов, служб организации путешествий и ресурсы сельскохозяйственных компаний. Эксперты отмечают возросшие сложность и точность кибератак. К примеру, сервис «АгроСигнал» атаковали 20 раз, и вредоносный трафик был выше 5 Гбит/с, хотя обычно каналы рассчитываются на пропуск всего 1 Гбит/с. Это достаточно важный ресурс, долгосрочный выход которого из строя грозит убытками российскому агробизнесу.

Важнейшим инцидентом стала кибератака на ОАО РЖД, в результате которой наблюдались сбои в работе сайта и мобильного приложения — компания доложила об инциденте утром 5 июня, а к вечеру работа ресурсов была восстановлена. Хакерам удалось достичь своих целей из-за характерной для крупных компаний неповоротливости РЖД — там готовились к «прошлой войне», как выразился источник «Коммерсанта». К примеру, блокировка зарубежного трафика по GeoIP уже утратила свою эффективность, но этим методом защиты в некоторых организациях продолжают пользоваться.

Проблемой массированных DDoS-атак озаботились в подведомственном Роскомнадзору Главный радиочастотный центр (ГРЧЦ) — ведомство заказало разработку Национальной системы противодействия DDoS-атакам. Проект с бюджетом 1,4 млрд руб. должен быть завершён 12 марта 2024 года.

Главный радиочастотный центр (ГРЧЦ), подведомственный Роскомнадзору, заключил договор на разработку системы защиты от DDoS-атак — закупка проведена у единственного поставщика, которым, по сведениям Forbes, является «Ростелеком», а стоимость контракта составляет 1,425 млрд рублей.

Источник изображения: kalhh / pixabay.com

Договор заключён 25 мая, а срок его исполнения — 12 марта 2024 года. Среди целей указываются создание Национальной системы противодействия DDoS-атакам, координационного центра по защите от DDoS-атак, а также доработка ПО для технических средств противодействия угрозам (ТСПУ). ТСПУ — аппаратный комплекс, устанавливаемый на сетях связи операторов в рамках закона о «суверенном Рунете». Это оборудование позволяет централизовано фильтровать трафик и блокировать запрещённые в России интернет-ресурсы. Неисключительную лицензию на ПО для ТСПУ без права доработки ранее предоставил «Ростелеком», поэтому ГРЧЦ мог провести неконкурентную закупку только у одного поставщика, уверены опрошенные Forbes эксперты.

В течение прошлого года ГРЧЦ занимался тестированием системы защиты от DDoS-атак — она осуществлялась посредством блокировки IP-адресов, которые участвовали в этих атаках, кроме того, применялась технология DPI (Deep Packet Inspection, то есть глубокое исследование пакетов трафика).

Схемы защиты от DDoS-атак подразделяются на облачные и магистральные — последние работают на сети операторов связи, и ГРЧЦ предполагает создать систему защиты магистрального типа. Эффективность работы такой системы оценивается экспертами как «умеренная», поскольку она способна противостоять только атакам, нацеленным на «забивание канала». Инциденты типа «атака на приложение» основаны на другой методике — создании множества «тяжёлых» запросов к сервису с ограниченными ресурсами. Когда эти ресурсы исчерпываются, новые запросы обрабатываться уже не могут — в таких случаях эффективна защита на уровне прокси-сервера, например, при помощи технологии Web Application Firewall (WAF), позволяющей пропускать на сервер приложения только легитимный трафик.

По итогам 2022 года Россия оказалась на четвёртом месте в мире по числу DDoS-атак на коммерческие и государственные ресурсы, сообщила ранее компания StormWall. И их число будет только расти — как минимум на 50 % в 2023 году, прогнозируют эксперты Swordfish Security. Только за I квартал 2023 года их число выросло более чем на 50 %: с 226 100 в I квартале прошлого года до 384 800, доложили в DDoS-Guard.

Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в 6 раз с прошлого года и в среднем стала составлять двое суток. Об этом пишет «Коммерсант» со ссылкой на данные квартального отчёта по защите от интернет-угроз компании Qrator Labs, работающей в сфере информационной безопасности.

Источник изображения: Mika Baumeister / unsplash.com

«Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам», — говорится в отчёте Qrator Labs. Наиболее продолжительные атаки были зафиксированы против операторов фискальных данных (22 часа), представителей сферы онлайн-образования (20 часов), медиа (20 часов) и программных сервисов (10 часов). Несмотря на это, за весь 2022 год продолжительность атак значительно выросла: за первые три месяца года неоднократно фиксировалось обновление рекорда по максимальной длительности, а одна из DDoS-атак в мае продолжалась почти 29 дней.

По данным «РТК-Солар», продолжительность атак на российские IT-ресурсы в первом квартале в среднем сократилась в четыре раза по сравнению с аналогичным периодом 2022 года. При этом компания отмечает обнаружение атак длительностью до 32 дней. Целями злоумышленников становились представители разных сфер экономики: страхования, ретейла, промышленности.

В Qrator Labs сокращение максимальной длительности DDoS-атак связывают с расширением спектра целей злоумышленников. Хакеры перестали фокусироваться на отдельно взятых ресурсах и в случае неудачи ищут новые жертвы. В DDoS-Guard согласны с тем, что продолжительность атак значительно снизилась в первом квартале. Отмечается, что атакующие стали лучше анализировать ресурсы, чтобы выбирать жертв, которые не защищены от DDoS или используют слабую защиту. В Softline считают, что снижение продолжительности DDoS-атак связано с тем, что многие компании стали блокировать входящий трафик по геолокации, что делает неэффективными атаки из-за рубежа.

На прошедших выходных американская компания Cloudflare отразила серию атак типа «отказ в обслуживании» (DDoS), включая «крупнейшую на сегодняшний день» DDoS-атаку. Согласно имеющимся данным, в пике мощность атаки превышала 71 млн запросов в секунду.

Источник изображения: Bleeping Computer

«Большинство атак достигали пика в пределах 50-70 млн запросов в секунду, а самая крупная из них превысила 71 млн запросов в секунду. Это крупнейшая HTTP DDoS-атака за всю историю, которая более чем на 35 % превышает зафиксированный в июне 2022 года рекорд в 46 млн запросов в секунду», — говорится в сообщении Cloudflare.

Специалисты компании подсчитали, что в ходе рекордной атаки запросы исходили от 30 тыс. IP-адресов, принадлежащих разным облачным провайдерам. Целями злоумышленников стали клиенты Cloudflare, включая провайдеров облачных игровых сервисов, платформы облачных вычислений, криптовалютные компании и хостинг-провайдеров.

Источник изображения: Cloudflare

Всё более мощные и частые DDoS-атаки согласуются с недавним отчётом Cloudflare об угрозах такого типа. В компании подсчитали, что количество HTTP DDoS-атак увеличилось на 79 % по сравнению с прошлым годом. Количество объёмных атак мощностью более 100 Гбит/с выросло на 67 % по сравнению с предыдущим кварталом. Количество DDoS-атак продолжительностью свыше 3 часов увеличилось на 87 % по сравнению с предыдущим кварталом.

По итогам 2022 года Россия заняла четвёртое место в мире по количеству DDoS-атак на коммерческие и государственные информационные структуры страны. Как сообщают «Известия» со ссылкой на данные компании StormWall, в прошлом году атаки на российский IT-сегмент впервые составили 8,4 % от общего числа киберпокушений во всём мире.

Источник изображения: Markus Spiske/unsplash.com

По данным «Лаборатории Касперского», в прошлом году число атак на российские информационные структуры выросло на 60-70 % в сравнении с 2021 годом. По мнению экспертов, это связано с деятельностью т.н. «хактивистов» — организаторов атак по политическим и иным мотивам.

В прошлом году 28 % атак было направлено на финансовую отрасль России, 18 % — на телекоммуникационную сферу, 14,5 % — на государственный сектор и 12 % — на ретейл. Атаковали и другие сферы. По информации StormWall, из-за высокой активности хактивистов число DDoS-атак в финансовом секторе взлетело в 18 раз, в телеком-сфере — в 12 раз, в госсекторе — в 25 раз, средства массовой информации стали атаковать в 30 раз чаще, ретейл — в 8 раз, развлекательную сферу и логистику — в 4 раза.

В «Лаборатории Касперского» отметили изменение характера DDoS-атак — простые атаки весной позже сменились сложными и продолжительными, одна из них длилась почти 29 дней подряд, пик пришёлся на весну и лето. Прогнозируется, что весной 2023 года число киберинцидентов, связанных с нефтегазовым сектором и энергетикой, в целом может вырасти на 300 %. Не исключается рост атак и на другие отрасли.