Непрерывные DDoS-атаки: кто стоит за новым типом угрозы?

Кибератаки в фоновом режиме 

До событий февраля–марта 2022 года DDoS-атак (атака типа отказ в обслуживании, — прим. ред.), продолжающихся годами, не было в принципе, утверждают в Servicepipe. Аналитики зафиксировали лишь 5 % атак, которые длились месяцами. Самой старой из них исполнилось два года в феврале 2024-го. 

Тенденцию подтвердили «Телеспутнику» в компании DDoS-Guard. По ее данным, непрерывные атаки начали прослеживаться с 2022 года. Как раз в то время российские сайты подверглись массовым кибератакам, прокомментировал руководитель направления защиты от DDoS на уровне веб-приложений Дмитрий Никонов. 

Например, специалисты обнаружили следующую уловку: некоторые сайты при помощи специальных скриптов под безобидным прикрытием, скажем, онлайн-игр, генерируют вредоносный трафик, чтобы вывести веб-ресурс из строя. В таком случае пользователи, сами того не зная, участвуют в атаке — в фоновом режиме.

Иллюзия непрерывности 

В ITGLOBAL.COM Security сообщили «Телеспутнику», что непрерывность DDoS-атак — это миф. Дело в том, что иллюзию нон-стопа создает определенная периодичность, с которой такие атаки повторяются. 

«По исследованию аналитиков, длительность DDoS-атак увеличилась до 9 часов в пике, а среднее время атаки составляет 1–2 часа», — уточнил в разговоре с «Телеспутником» гендиректор компании Александр Зубриков. 

Еще один фактор, который создает иллюзию непрерывности, это проблемы с соединением. Они могут продолжаться даже после окончания активной фазы DDoS-атаки. Возникает подобное в случае, если сетевое оборудование владельца ресурса было не готово к таким нагрузкам.

По словам заместителя генерального директора Servicepipe Даниила Щербакова, длительные атаки вполне реальны — изначально атака идет активно и на высоких скоростях, но со временем ослабевает. 

«Порой атаку ведут оставшиеся “мертвые души” от ботнетов, которые продолжают атаковать в бесконечном цикле. Часто такие фоновые атаки — это своего рода мониторинг эффективности защиты», — объяснил эксперт «Телеспутнику».

Кто заказчик? 

Заказчиками долгосрочных DDoS-атак могут быть те, кому выгодно проводить их по политическим мотивам (среди сайтов, которые подвергались непрерывным DDoS-атакам, были госресурсы, — прим. ред.), но есть и недобросовестные бизнесмены, которые попросту пытаются навредить своим конкурентам, считают в Servicepipe. 

DDoS-атаки стали менее затратными, отмечают эксперты. Раньше для их проведения требовались сети из ботов (ботнеты) с централизованным управлением, а сейчас ботнет может состоять из смартфонов, которых в разы больше (чем классических компьютеров), но их защита слабее. «Больших мощностей от них и не требуется — только доступ в интернет. А если использовать DDoS-атаку с задействованием уязвимостей протокола DNS, то можно добиться колоссальных результатов с минимальными ресурсами», — отметил Зубриков. 

Стоит помнить и о том, что люди все больше отдают предпочтение устройствам интернета вещей (IoT). Они тоже могут быть заражены вирусом и впоследствии использованы для DDoS-атак. 

«В последние годы активно развивается IoT-направление — умные пылесосы, холодильники, утюги. Они умеют выходить в интернет, и все эти приборы также подвержены риску заражения. К счастью, антивирусные технологии не стоят на месте и продолжают активно развиваться и на хорошем уровне защищают компьютеры от вирусов», — рассказал «Телеспутнику» PHP-программист компании «Цезарь Сателлит» Андрей Бобров. 

Эксперт уверяет, что такие атаки, как правило, используются в конкурентной борьбе. Их цель — сделать так, чтобы клиенты сделали выбор в пользу другой компании. 

Достоверно узнать, кто в этой истории «мафия», невозможно. Причина в том, что провести DDoS-атаку может абсолютно любой человек, обратил внимание «Телеспутника» руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин. По его словам, в даркнете сейчас продается услуга «DDoS под ключ». В назначенное время компьютеры, зараженные вредоносным программным обеспечением (ПО) и подключенные к ботнету, начинают генерировать трафик к определенному сайту. Собеседник издания подчеркнул, что при этом не обязательно выводить ресурс из строя — можно лишь снизить качество и скорость подключения.

Зловредный трафик

По словам экспертов, опрошенных «Телеспутником», обнаружить длительные DDoS-атаки сложно, потому что трафик, который они генерируют, почти невозможно отличить от органического. Тем не менее, он наносит вред бизнесу. Например, некоторые атаки проводятся с распределением по нагрузке. То есть они задействуют разные сегменты в разное время. Такой трафик тяжело локализовать и отделить от полезной нагрузки реальных пользователей и устройств. 

При DNS-амплификации (вид усиленной DDoS-атаки, которая может парализовать работу сайта, — прим. ред.) зловредный трафик генерируется за счет запросов, которые сложно блокировать, не навредив работе сервиса. А есть атаки, которые не приводят к глобальным сбоям, аномальные пики активности отсутствуют. Как правило, они стоят дешевле и не приводят к полному отказу сайтов.

Как противодействовать DDoS-атакам? 

Руководитель направления центра компетенций по информационной безопасности «Т1 Интеграция» Валерий Степанов сообщил «Телеспутнику» о нескольких способах противодействия DDoS-атакам (в том числе непрерывным): использовать резервный канал у другого оператора; применять аппаратное или облачное решение, которое сможет фильтровать трафик по объему и количеству; обратить внимание на внутренние настройки, например, геолокацию по IP-адресу. 

Сергей Полунин считает, что обнаружение и отражение DDoS-атаки на уровне предприятия — задача сложная и ресурсоемкая. «Обычно подобные атаки стараются блокировать на уровне интернет-провайдера, у которого уже есть необходимое оборудование и программное обеспечение», — отметил он. 

Если говорить об обычных DDoS-атаках, то они легко распознаются с помощью функции базовой защиты в любом фаерволе (программа либо программно-аппаратный комплекс для защиты от вредоносных действий из Сети, — прим. ред.) или предотвращаются интернет-провайдером, подметил Александр Зубриков. 

Более сложные атаки можно детектировать благодаря межсетевым экранам с поведенческим анализом — именно это поможет отличить нормальный трафик от подозрительного, даже если он генерируется легитимными запросами. 

Не стоит забывать и про искусственный интеллект (ИИ), обратил внимание Зубриков. «В современных реалиях появился новый ответ на DDoS-атаки, когда ИИ позволяет более точно и эффективно определять подозрительное поведение в Сети, поэтому все больше вендоров и сервис-провайдеров, которые предлагают облачную защиту от DDoS-атак, начинают использовать ИИ в своих решениях», — резюмировал он.