Нам больше DDoSтанется: как росли число, мощность и длительность атак в 2023 году

Общее дело

По сравнению с 2022 годом в 2023-м общее количество DDoS-атак во всем мире выросло на 63%, следует из отчета StormWall, с которым ознакомился Forbes. Основной причиной такого роста эксперты называют геополитические факторы, влияние которых росло на протяжении всего года и было особенно заметно в IV квартале, что совпадает с началом острой фазы конфликта между Израилем и Палестиной в октябре. Анализ основан на данных глобальной сети центров очистки StormWall, которые могут обрабатывать большие объемы данных — до 3500 Гбит/с в моменты пиковой нагрузки. Это семь точек фильтрации трафика: в России, США, Германии, Болгарии, Казахстане, Китае, Сингапуре.

США продолжают лидировать по частоте DDoS-атак, на их долю приходится 12% атак по всему миру. За ними следует Китай с 10,6%, на третьем месте — Индия с 9,6%. Однако география распространения DDoS-атак расширяется. Франция занимает 4-ю позицию (8,4%). Великобритания — 5-ю (8,2%). ОАЭ столкнулись с 7,6% нападений, «что является особенно высоким показателем для страны», замечают эксперты. В России и на Украине также наблюдается значительное количество атак — 7,3% и 4,6% соответственно. Большинство инцидентов в России и Украине эксперты связывают с хактивизмом из-за продолжающегося конфликта между этими странами.

Наиболее атакуемой отраслью стали финансы — 26% атак. За ними следуют государственные услуги (21%) и онлайн-торговля (14%). Топ-5 замыкают телекоммуникации и сфера развлечений (11% и 8% соответственно). Примечательно, что в России, по данным StormWall, картина секторов, наиболее подверженных DDoS-атакам, абсолютно совпадает с мировой, включая их позиции в рейтинге, отличается лишь интенсивность атак.

Геополитика продолжает играть важную роль в росте числа DDoS-атак. «В таких странах, как США, Россия, Украина, Израиль, Германия, Франция, Польша и ОАЭ, число атак растет в основном из-за усиленной активности хакерских группировок, спонсируемых государством, и APT (Advanced Persistent Threat, целевая продолжительная атака повышенной сложности)», — говорится в исследовании.

Географический охват DDoS-атак также расширяется: аналитики наблюдают заметный рост их числа в регионах APAC (Азиатско-Тихоокеанский регион) и MENA (страны Ближнего Востока и Северной Африки). «Особенно значительный подъем в регионе MENA, где DDoS-активность выросла на 45% в последнем квартале 2023 года, — замечают в StormWall. — Это связано главным образом с перемещением туда российских компаний для обхода санкций или выхода на новые рынки, что привлекает внимание как государственных, так и ориентированных на прибыль хакеров.

В число глобальных трендов входит рост количества многовекторных атак — в 2023 году сразу на 108%. Большую их часть проводят хакерские группировки, спонсируемые государствами: они не только более продвинуты технически, но и имеют доступ к высокотехнологичным инструментам, указывают авторы отчета. «Широко используются атаки типа Smokescreen (дымовая завеса) — рост на 54%. Эта техника включает использование DDoS-атак для отвлечения внимания от других вредоносных действий, таких как извлечение данных или проникновение в сеть», — следует из отчета.

В 2023 году самая большая атака, которую наблюдали в StormWall, достигла пика в 1,4 Тб/с. «Чтобы понять ее масштаб, достаточно сказать, что это примерно столько же данных, сколько составляет весь ежедневный интернет-трафик небольшой страны», — пишут авторы исследования.

Среди основных тенденций, на которые обращают особое внимание эксперты компании, — резкий рост атак на госсектор («впервые в наших отчетах он стал второй по масштабу отраслью, где количество атак резко возросло на 108%»), фокусирование интереса злоумышленников на критически важной инфраструктуре («такие отрасли, как транспортный контроль, энергетические сети и государственные службы, должны быть особенно бдительными») и всплеск атак на сферы онлайн-торговли и развлечений («они быстро оцифровываются, что делает их привлекательными для хакеров, желающих воспользоваться недостатками разработки систем безопасности»).

Примечания по секторам

Авторы отчета также делятся своими любопытными наблюдениями по каждой из подверженных атакам отраслей. Так, финансовый сектор вновь принял на себя главный удар злоумышленников. «Хотя количество атак увеличилось на 78% по сравнению с предыдущим годом, это относительно скромно по сравнению с 12-кратным ростом с 2021 по 2022 год», — говорится в отчете.

Что касается лидера по росту числа атак — госсектора, то использование кибервойны в российско-украинском конфликте «в некотором смысле популяризировало атаки на правительственные системы», считают аналитики, сейчас это широко распространенная проблема. «Особенно активны атаки на Ближнем Востоке из-за израильско-палестинского конфликта, влияние которого также ощущается по всему ЕС, — говорят в StormWall. — Спонсируемые государством группировки, стоящие за этими атаками, высокоорганизованны и используют сложную тактику DDoS».

Транспортный сектор не входит в топ-5 отраслей по атакам, но идет сразу следом — 6% кибератак (рост на 76%). И Украина, и Россия столкнулись с DDoS-кампаниями, нацеленными на их транспортные сети, особенно на железные дороги, поскольку эти системы были критически важны для переброски войск к линии фронта.

В секторе образования атаки в основном были направлены против вузов в Евросоюзе и России. «Время большинства инцидентов совпадало с основными экзаменами и началом новых академических семестров, основной целью было нарушить процессы зачисления. Коммерческие хакеры проявляли меньшую активность в этой отрасли, чем хактивисты», — замечают аналитики.

Российский след

В России общее число DDoS-атак в 2023 году выросло на 29%. Как указано в исследовании, в стране в прошлом году произошел «значительный всплеск мультивекторных DDoS-атак на компании» — рост на 78% по сравнению с 2022 годом. Кроме того, в 2023 году стало больше DDoS-атак для прикрытия других вредоносных активностей — на 43% по сравнению с 2022 годом.

В 2023 году было организовано много DDoS-атак на уровне L7 (уровень приложения; нацелены на уязвимости критически важных частей приложения и на недостатки в логике и обработке данных. — Forbes), «причем 30% российских компаний из списка топ-100 не обладали профессиональной защитой от этого вида атак». Ярким трендом 2023 года в России стало использование смешанных ботнетов, состоящих из нескольких вредоносных программ.

Воздействие продлевается

В МТС RED («дочке» МТС в сфере кибербезопасности) согласны с оценками коллег. «Это объективно обусловлено мировыми событиями, — говорит руководитель центра сервисов кибербезопасности компании Андрей Дугин. — Мы отмечаем схожие тренды развития различных векторов и типов DDoS-атак. Что касается российских реалий, наши данные показали, что в минувшем году от 30% до 80% всех DDoS-атак, в зависимости от конкретных ресурсов, было реализовано на уровень приложений (L7). Наиболее часто в 2023 году DDoS-атакам были подвержены ресурсы государственных и финансовых организаций, промышленной сферы, ТЭК, телекоммуникаций».

Всплеск DDoS наблюдался в первые месяцы начала «спецоперации»*, в настоящее время ситуация в этом направлении стабилизируется, это связано в том числе и с принимаемыми в России мерами блокировки по географическому признаку, размышляет Алексей Пашков, руководитель направлений WAF и Anti-DDoS ГК «Солар». «Самая мощная из фиксируемых нами атак составила 300 000 запросов в секунду и была направлена на сервисы форума «Россия — Африка», — говорит он. — В целом же в течение года мощность атак скачкообразно росла от месяца к месяцу, однако не достигла максимума 2022 года».

«Мы делаем срез по трафику со всего мира, и ситуация в России по большей части совпадает с общими трендами, которые видим внутри сети защиты DDoS-Guard. По нашим данным, глобально число DDoS-атак в 2023 выросло на 80% по сравнению с 2022 годом (2 266 198 против 1 255 573), — делится наблюдениями руководитель направления защиты на уровне веб-приложений в DDoS-Guard Дмитрий Никонов. — Обратили внимание, что атакующие стали избегать сайтов, использующих сервисы защиты от DDoS. Теперь они проверяют наличие защиты и ее устойчивость. Нарастает количество, мощность и продолжительность DDoS-атак».

Наряду с усилением мощности DDoS-атак, в 2023 году значительно выросла их продолжительность, рассказывает руководитель отдела сетевых технологий Angara Security Денис Бандалетов: «До трех суток в среднем, что почти в три раза дольше, чем в 2022 году. На этом фоне ряд ведущих провайдеров добавили дополнительный контур защиты от DDoS-атак из-за новой волны их актуальности». Большинство кибератак (не только DDoS, но и других типов) в 2023 году, по его словам, носило политически мотивированный характер: «В среднем их число выросло на 120%».

Объемы «мусорного» трафика бьют рекорды год за годом, но некоторые тенденции сохраняются, замечает гендиректор Security Vision Руслан Рахметов. По его словам, атакующие продолжают использовать ботнеты из зараженных устройств «интернета вещей» и арендованные или взломанные облачные инсталляции, а также эксплуатируют особенности и уязвимости сетевых протоколов. «Атакующие зачастую выбирают нетривиальные способы реализации DDoS-атак, а также действительно запускают DDoS для усиления негативного эффекта от более масштабной кибератаки. В результате клиенты не могут попасть на сайт компании, допустившей утечку данных, а команда реагирования на киберинциденты не может эффективно взаимодействовать и оперативно устранить угрозу», — рассуждает Рахметов.

При этом, как утверждает Дмитрий Никонов, политически мотивированные атаки уходят как тренд. Преобладают, по его мнению, «коммерческие» атаки — DDoS используют как один из наиболее доступных инструментов, чтобы быстро вывести конкурента из игры. «Что интересно, это далеко не всегда означает заказ в рамках конкурентной борьбы между гигантами индустрии — жертвой самой мощной атаки в 22,9 млн запросов в секунду среди зафиксированных нами за год стала небольшая региональная компания по доставке еды», — говорит он.

Проблематика DDoS-атак известна и актуальна, поэтому подведомственный Роскомнадзору Главный радиочастотный центр (ГРЧЦ) в марте 2024 года создаст Национальную систему противодействия DDoS-атакам, напоминает Руслан Рахметов: «Таким образом, на государственном уровне будет вестись скоординированная работа по борьбе с ними».

Вместе с ростом числа и интенсивности DDoS-атак растет и российский рынок услуг защиты от них. Так, по оценкам МТС Red, в 2022 году он составил 762 млн рублей, к 2025 году он может вырасти в три с половиной раза, до 2,7 млрд рублей. В 2023 году рынок должен был увеличиться год к году примерно на 60%. В числе основных факторов такой динамики в компании в первую очередь указывают на распространенность и рост числа DDoS-атак, а также их широкое распространение в каналах информации и простоту подсчета ущерба от них.

* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.