DDoSтать до потолка: как и почему за 2024 год изменились сетевые кибератаки
Ботнеты всему виной
В мае 2024 года Европол отчитался о крупнейшей операции по борьбе с ботнетами (группа подключенных к Интернету устройств, каждое из которых запускает одного или нескольких ботов. — Forbes), которая остановила работу более сотни вредоносных серверов по всему миру. Однако этот успех не принес значительного облегчения. Активное распространение вредоносного ПО позволяет злоумышленникам укреплять существующие ботнеты и создавать новые на базе камер видеонаблюдения, маршрутизаторов и даже умных телевизоров. Коллеги из TrendMicro подсчитали, что в одной из недавних DDoS-атак более 80% задействованных устройств были беспроводными маршрутизаторами TP-Link, Zyxel и других марок, еще 15% составили IP-камеры, а остальное пришлось на видеорегистраторы и другие устройства.
В 2024 году мы наблюдали атаки, в рамках которых был задействован почти 1 млн уникальных IP-адресов. Это втрое больше, чем в 2023 году, и сопоставимо с количеством IP, используемых всей Исландией или Кипром. Прогнозы в этом направлении неутешительны, поскольку устройств, которые потенциально способны стать частью ботнета, каждый год выпускают миллионы.
Развитие ботнетов привело к колоссальному росту пиковой мощности DDoS-атак. Теперь объемные всплески скоростью более 1 Тбит/с становятся все более привычным делом. Если раньше мы о них узнавали от крупнейших корпораций, то теперь видим и на своих дашбордах (интерактивная аналитическая панель, графический интерфейс.
— Forbes). В октябре 2024 года мы пережили крупнейшую в своей истории атаку в 2,4 Тбит/с. Выглядит это, конечно, красиво, но если мы в состоянии переварить такое количество трафика, поскольку специализируемся на защите от DDoS, то что делать, например, локальным операторам связи, у которых зачастую нет избыточной канальной емкости в таком объеме?
Телеком под прицелом
2024 год прошел под аккомпанемент DDoS-атак в адрес операторов связи и облачных провайдеров. Очаги вредоносной активности фиксировались практически в каждом регионе России, зачастую разрастаясь из кратковременной вспышки в многодневные атаки, нацеленные на переполнение каналов связи и перегрузку сетевого оборудования.
Как правило, это комбинации нескольких векторов с целью «заливать» основной поток вредоносного трафика по наиболее уязвимым местам. На фоне атак на телеком-сектор мы обнаружили тренд, который назвали Make Attacks GRE Again, поскольку все чаще стали встречаться вариации с участием протокола GRE.
Наблюдаем увеличение медианной продолжительности атаки на 65% по сравнению с показателями 2023 года. Это также говорит в пользу конкретизированного выбора цели и сосредоточении атакующих ресурсов на ней. Отдельный «фланг» формируют маломощные, но длительные атаки. Подтверждение этому — случаи, когда атака в 50 Гбит/с на оператора связи в течение пяти дней вызывала сбои у его абонентов. Это не только борьба на истощение с теми, у кого нет защиты, но и возможность оценить эффективность принимаемых мер при ее наличии.
Помимо операторов связи страдали и облачные провайдеры. Хотя большая вычислительная мощность позволяет последним справляться с некоторым количеством атак, массированные всплески, о которых мы писали выше, создают высокие риски недоступности при отсутствии специализированной защиты. Даже крупные компании подвержены таким рискам, так как при развитом бизнесе не обязательно имеют сильную ИБ-инфраструктуру.
Веб-сервисы играют в домино
Еще одной отраслью, получившей повышенное внимание атакующих, стал финансовый сектор. Атаки на сайты, приложения банков и всю их инфраструктуру наибольшую интенсивность показали летом, но и в течение всего 2024 года давали нам пищу для размышлений и совершенствования системы защиты — особенно в дни объявления важных экономических анонсов и сдачи квартальной отчетности. Здесь стоит отметить, что независимо от отрасли число атак на уровне веб-приложений (L7) традиционно превышает более чем вчетверо число атак на сетевом и транспортном уровнях (L3-4). Так происходит из-за того, что стоимость организации L7-атак по-прежнему требует минимальных финансовых затрат.
В тренде, как и в 2023 году, атаки на группы доменов. В результате изучения потенциальных целей определяются наиболее уязвимые компоненты инфраструктуры, и по всем выбранным представителям этой сферы атаки обрушиваются разом. Так было в этом году с разными тематическими группами — банками, игровыми и букмекерскими сервисами, СМИ и другими.
Социальная инженерия вышла на новый уровень и позволяет злоумышленникам выяснять «координаты» оборудования, где развернуты сервисы сторонних вендоров. Такие сервисы невозможно обнаружить без тщательного сканирования инфраструктуры потенциальной цели. Они, как правило, прежде не подвергались атакам и не способны выдержать массированный поток вредоносного трафика. Как следствие, выходя из строя, атакованные серверы по принципу домино «складывают» соседние.
Геоблокировки не помогут
Из 2023 года в 2024-й перешла тенденция к блокировкам трафика по геопризнаку. Этот подход применялся повсеместно в разных отраслях и масштабах — от запрета входящих запросов из определенных стран до добавления в черных список подсетей, содержащих десятки тысяч IP-адресов. Применяя такие настройки, администраторы веб-сервисов рискуют потерять значительную часть легитимного трафика.
Уже весной 2024 года стало понятно, что подобные методы окончательно потеряли актуальность, поскольку атакующие в результате тщательной разведки выясняют, из каких регионов трафик не блокируется, и арендуют мощности на территории этих регионов. Разведка, как правило, проводится по открытым данным, но позволяет получить важные зацепки об инфраструктуре потенциальной жертвы, например в каких дата-центрах она размещена или как менялись DNS-записи. Злоумышленники легко перебирают множество облачных и физических серверов, пока не найдут подходящий ресурс, обходя блокировку по геопризнаку. Удешевление облачных систем делает атаки «изнутри страны» доступными и автоматизированными, позволяя массово использовать эту тактику.
Выборочный анализ показал, что в 70% случаев атакующие запросы поступают с российских IP-адресов. Государственные регуляторы запустили внутреннюю GEO-базу РАНР. Она включает в себя полную информацию о российских организациях, которую мы используем для идентификации по геопризнаку. Напоминаем, что геоблокировка служит лишь дополнительным инструментом для управления доступом к веб-контенту, но не является основным средством защиты от DDoS.
Выводы и прогнозы
Вредоносная активность показала волнообразную динамику. Летом обозначился кратный прирост за счет хактивизма на фоне событий политического и экономического плана. Вторая крупная волна выросла к концу года — это (уже ставший традиционным) период коммерчески мотивированных атак.
Прирост общего числа DDoS-атак, по нашим данным, составил лишь 8,8% относительно 2023 года. Можно сказать, он незаметен в сравнении с приростами в 2021-2022 году — 753% и 2022-2023-м — 80%. Возможно, это выглядит парадоксально и противоречит данным наших коллег по индустрии, однако объясняется двумя факторами. Во-первых, число атак сокращается, но они становятся более «умными», используя сложные тактики и предварительную разведку. Во-вторых, и это связано с предыдущим трендом, торможение роста числа атак на клиентов DDoS-Guard само по себе демонстрирует надежность предоставляемой им защиты — киберпреступники не видят смысла тратить ресурсы и время на атаки, которые не приведут к успеху (выводу из строя бизнеса, прерыванию нормального режима работы, отказу сетевой инфраструктуры).
Интересным трендом 2024 года стал активный приток контент-генераторов. Их основная цель — быстрая и качественная доставка контента при использовании вендорных мощностей и построение оптимальных маршрутов. Если раньше потребности наших клиентов в основном составляла защита от DDoS-атак, то теперь в приоритете — многовекторное управление трафиком с возможностью создания правил, учитывающих специфику проекта. Это мотивирует нас развивать гибкость продукта и охватывать все больше направлений работы с трафиком.
Мнение редакции может не совпадать с точкой зрения автора