Незваные в хостинг: специалисты обнаружили атакующий IT-провайдеров опасный ботнет

«Невероятно мощные атаки»

Обнаружен новый опасный ботнет, который запускает мощнейшие DDoS-атаки на российских хостинг-провайдеров, рассказали Forbes в компании StormWall, поставляющей услуги информационной безопасности. По данным аналитиков, максимальная мощность атак достигала одного из самых значительных из зафиксированных в этом году показателей 1,5 Тбит/с, ботнет состоял из различных взломанных устройств, и их количество превышало 100 000. В основном в ботнет входили маршрутизаторы ASUS.

Объектами для атак выступили пять российских хостинг-провайдеров, сообщили в StormWall, не став, впрочем, раскрывать их названия. В основном атаки шли с IP-адресов в таких странах, как США (большинство атак — 62%), Китай, Гонконг, Сингапур, Румыния и Украина. Нападения с российских IP-адресов составили 9% от общего количества. Всего было выявлено более 100 000 уникальных IP-адресов ботнета.

В последнее время хакеры постоянно используют ботнеты для запуска DDoS-атак на российские компании, говорит CEO и сооснователь StormWall Рамиль Хантимиров, однако новый ботнет позволяет организовать «невероятно мощные атаки». «Это серьезная угроза для любой организации. Защититься от таких атак самостоятельно практически невозможно, и справиться можно только с помощью облачных сервисов, которые обладают достаточной емкостью сети фильтрации», — рассуждает он.

С растущей силой

В целом DDoS-атаки по своей мощности растут, констатируют эксперты. О новых рекордах регулярно отчитываются как отечественные, так и зарубежные игроки. Так, в июле, прямо перед волной атак на российские банки, «Ростелеком» заявлял об успешно отбитой атаке в 3 Тбит/с, а совсем недавно, в октябре, американская Cloudflare (предоставляет услуги доставки контента, защиты от DDoS-атак, безопасный доступ к ресурсам) также рапортовала об отражении рекордной DDoS-атаки мощностью 3,8 Тбит/с.

«Подтверждаем значительный прирост, — говорит главный инженер направления защиты сети DDoS-Guard Дмитрий Шмидт. — На прошлой неделе одна из «жемчужин», которую мы успешно отразили, достигла почти 2,5 Тбит/c. «Интернет вещей» развивается, интернет-инфраструктура по всему миру растет, соответственно растет и количество потенциальных участников ботнетов».

При этом количество байт в единицу времени перестало быть единственным мерилом их опасности, обращает внимание директор по развитию Servicepipe Данила Чежин: «Важна не только формальная мощность, но и то, насколько уязвима часть сайта, куда бьет атакующий, насколько хорошо мимикрирует атакующий ботнет под легитимный трафик и насколько легко сепарировать нелегитимный трафик и нейтрализовать его».

Почему хостеры стали мишенью

«Это потенциально серьезная точка отказа», — объясняет Дмитрий Шмидт. Если у хостера достаточно распределенная инфраструктура, добиться его полной недоступности — «задача со звездочкой» (и почти невыполнимая, если используется профессиональная защита), продолжает он: «Но если допустить гипотетически, что атака вызвала перебои в работе, негативное влияние ощутят многие клиенты этого хостера. Может случиться и так, что хостер сам отключит атакуемый ресурс — это все зависит от его собственной политики. К счастью, такие радикальные сценарии встречаются нечасто, поскольку приличные хостеры по большей части уже используют защиту от DDoS».

Хакеры атакуют хостеров, чтобы вывести из строя и сделать недоступными множество интернет-серверов, подтверждает руководитель направлений WAF и Anti-DDoS ГК «Солар» Алексей Пашков. Большая мощность, по его словам, важна именно для атак на хостеров, так как у них большие каналы связи до дата-центров. Это и отличает подобные атаки от DDoS-атак на B2B-клиентов, например, в банковской сфере, когда хакеры атакуют наиболее важные интернет-сервисы с помощью коротких ударов небольшой мощности, а также быстро меняют векторы атак и цели, перемещая атаку от одного критичного сервиса до другого.

Атаки хостинг-провайдеров подтверждают тенденцию, о которой ранее в октябре говорили в МТС RED: по данным компании, в июле-сентябре 2024 года значительно выросло количество DDoS-атак на организации IT-сферы, которые стали главной целью злоумышленников. За отчетный период МТС RED отразила «кратно больше» DDoS-атак на веб-ресурсы компаний этих отраслей, чем за аналогичный период 2023 года. Всего же за III квартал 2024-го провайдер кибербезопасности зафиксировал свыше 21 400 атак — почти в 10 раз больше, чем за июль-сентябрь 2023 года.

Видя, что натиск хакеров, организующих нападения на ресурсы российских организаций, продолжает расти, отдельные игроки призывают организовать информационный обмен между участниками рынка. «В 2024 году мы видели появление мощнейших ботнетов, способных обрушить инфраструктуру даже крупнейших российских игроков, беспрецедентные атаки на финансовый сектор. И потому мы уверены, что назрела необходимость объединить усилия в борьбе с DDoS-атаками», — убежден Данила Чежин.

В первую очередь, по его мнению, необходимо наладить информационный обмен об атаках в режиме реального времени между защитниками от DDoS-атак, телеком-провайдерами (которые также оказывают услуги по защите от DDoS, но порой сами становятся жертвами ковровых атак), представителями бизнеса и, возможно, регуляторами. «Своевременно полученная информация о деталях атаки во время инцидента (а не постфактум) позволит своевременно выработать меры по защите других бизнесов, которые могут стать целями злоумышленников и тем самым снизить вероятность успеха последующих атак. От подобного обмена, уверен, снизится количество результативных атак и в итоге вырастет защищенность бизнеса», — заключает Чежин.