Облака под ударом
Эксперты ООО "Сторм системс" (StormWall) проанализировали киберинциденты II квартала 2024 г. и установили, что хакеры продолжают активно атаковать сервис-провайдеров, поскольку атаки на них являются более эффективными, чем на компании из других отраслей. Если в апреле 2024 г. большинство DDoS-атак были направлены на такие отрасли, как розница, финансовая сфера и энергетический сектор, то эффективность данных киберинцидентов составила только 21%. В мае 2024 г. злоумышленники организовали массовые атаки на интернет и облачных провайдеров. Эффективность таких киберинцидентов составила 42%. В результате атак злоумышленников онлайн-ресурсы многих сервис-провайдеров были недоступны в течение длительного времени. Эффективность DDoS-атак на сервис-провайдеров с 1 по 20 июня 2024 г. достигла 48%. На основании этих данных эксперты StormWall сделали вывод, что хакеры научились запускать успешные DDoS-атаки на интернет- и облачных провайдеров, при этом компании пока испытывают трудности с отражением атак.
Многие компании сталкивались с мощными DDoS-атаками и раньше. Так, 8 ноября 2023 г. мощной атаке подверглись серверы ООО "РЕГ.РУ". Однако тогда сработала автоматическая защита, и клиенты не пострадали. Кроме того, тогда опрошенные эксперты отмечали, что атака была непродуманной и действия злоумышленников при правильном выборе целей и инструментария могли бы иметь очень серьезные последствия.
https://www.comnews.ru/content/230025/2023-11-09/2023-w45/1008/kiberpre…
"Мы, действительно, фиксируем увеличение атак на сервис-провайдеров. Этот тренд не ограничивается II кварталом 2024 г., он прослеживался и ранее, - отметил руководитель направления развития SOC Infosecurity (ГК Softline) Сергей Карпунин. - Хакеры активно атакуют не только сервис-провайдеров, но и компании из других отраслей. Однако сервис-провайдеры более уязвимы из-за сложной и разветвленной инфраструктуры, что делает их привлекательными целями. Успешная атака на одного сервис-провайдера может привести к компрометации всех клиентов, пользующихся его услугами, создавая эффект домино. В целом клиенты ожидают от провайдеров высокого уровня безопасности, и успешная атака на их инфраструктуры может серьезно повлиять на репутацию и потерю доверия со стороны клиентов. В результате атаки на сервис-провайдеров более эффективны и потенциально наносят больший урон, чем атаки на компании из других отраслей. Это приводит к росту количества атак, несмотря на усиление мер по кибербезопасности".
"Действительно, с начала 2024 г. мы фиксируем рост однотипных атак на сервисы провайдеров, при которых злоумышленники пытаются воздействовать небольшими объемами трафика на множество IP-адресов одной сети. Расчет организаторов таких DDoS-атак строится на том, что трафик может не превышать пороги детектирования и, соответственно, система реагирует на подобное воздействие медленнее, чем обычно, - сообщила ComNews пресс-служба ПАО "МегаФон". - Мы постоянно анализируем данные, изучаем опыт коллег и делимся с ними экспертизой, чтобы усиливать компетенции всего рынка и развивать сервисы кибербезопасности. На основании этих данных совершенствуем инструменты, прорабатываем новые возможные варианты угроз и защиты от них".
Директор центра компетенций по информационной безопасности "Т1 Интеграция" Виктор Гулевич также считает, что тенденция на увеличение количества атак налицо: "В последнее время участились массовые атаки на крупные компании. Злоумышленники выбирают пять-семь компаний и проводят DDoS-атаки".
Руководитель направления аналитических исследований ПАО "Группа Позитив" (Positive Technologies) Ирина Зиновкина привела статистику, согласно которой DDoS-атаки являются не главной опасностью для российских компаний, хотя и входят в первую пятерку основных угроз: "Наиболее популярным методом успешных атак на организации стало использование вредоносного программного обеспечения (ПО). DDoS-атаки замыкают пятерку лидеров после эксплуатации уязвимостей, социальной инженерии и компрометации учетных данных. Если говорить про сервис-провайдеров ИТ- и телеком-услуг, то, по нашим данным за 2024 г., основным методом атаки на них пока стало использование вредоносного ПО (63% и 65% соответственно). Доля успешных DDoS-атак сильно меньше. Если говорить про онлайн-сервисы, то на них в 2024 г. идут атаки в основном при помощи эксплуатации уязвимостей, а DDoS злоумышленники применяли практически в каждой пятой успешной атаке. Для всех компаний из сферы ИТ- и онлайн-сервисов основным последствием успешных атак в 2024 г. пока стала утечка конфиденциальной информации".
Директор по развитию продуктов экосистемы в области информационной безопасности "НОТА КУПОЛ" Мария Зализняк считает переориентацию злоумышленников на атаки сервис-провайдеров закономерной: "DDoS - очень ресурсозатратный вид атак. Злоумышленники тщательно соотносят цену взлома и вероятность успеха и выбирают объекты, на которых легче достичь задуманного. Именно поэтому в фокус их интересов попали сервис-провайдеры: успешная DDoS-атака на них будет иметь распределенный негативный эффект. При этом сами кибернападения усложнились: атака распространяется на протоколы разных сетевых уровней одновременно: на уровне IP, сессий, приложений. От этого сложнее защититься: необходимы комплексные ИБ-системы, больше вычислительных мощностей, чтобы отфильтровать вредоносные элементы и оперативно отреагировать на действия злоумышленников".
Пресс-служба регистратора доменных имен RU-Center в ответ на запрос корреспондента ComNews сообщила, что не наблюдала всплеска атак в 2024 г. из-за стабильно высокого их уровня: "Мы не фиксировали выраженную динамику - количество атак на наши ресурсы, к сожалению, стабильно высокое. Нельзя сказать, что стало больше попыток или они стали мощнее в последнее время".
Руководитель направления продуктовой безопасности Selectel Антон Ведерников не видит существенного роста количества атак: "За 2023 г. Selectel фиксировал большое количество DDoS-атак как на переполнение канала, так и на отказ приложений. Все инциденты были штатно отработаны и не имели влияния на инфраструктуру клиентов. Если говорить об усилении атак на провайдеров в мае-июне 2024 г., то, по данным наших систем защиты от DDoS, резкого увеличения числа инцидентов не наблюдалось - количество атак в мае было незначительно больше среднего за полугодие, а в июне снизилось на 20% относительно мая. Показатели мощности атак (объем и скорость) также находятся в среднем диапазоне без аномальных отклонений".
Директор дирекции кибербезопасности IBS Олег Босенко видит увеличение количества атак в целом и считает, что нельзя говорить о снижении эффективности атак в отдельных сегментах: "Я бы не стал говорить, что какой-то один сегмент рынка стал более атакуем. Следует учитывать, что определенная часть компаний не высвечивает информацию по инцидентам либо минимизирует ее. В этом плане наиболее достоверной информацией обладают регуляторы. Что касается снижения эффективности атак, то говорить об этом нельзя. Во-первых, нельзя недооценивать противника. Во-вторых, механизмы атак совершенствуются".
Директор по кибербезопасности CyberFirst Алексей Выжанов обращает внимание на серьезные изменения в тактике злоумышленников: "Целью хакеров стали не конечные (атакуемые) сервисы, а операторы связи, предлагающие услуги клиентам. С проблемой столкнулись даже провайдеры, которые обладают специализированным оборудованием для защиты от DDoS-атак. Основная проблема, с которой столкнулись операторы связи, - сложность определения факта атаки. В стандартной схеме с маршрутизаторов провайдера отправляется информация о трафике на специализированный сенсор, который служит для выявления факта начала атаки. Но так как она распределяется на все адреса провайдера, явных превышений на какой-либо конечный адрес зафиксировать не получается. Изменился и инструментарий злоумышленников. Так, организаторы атак направляют большое количество трафика произвольно на все адреса по сервисным портам. Также организаторы атак фрагментируют трафик, который не занимает существенный объем полосы, но генерирует большое количество пакетов в секунду и этим создает высокую нагрузку на сетевое оборудование. И наконец для атак применяют десятки тысяч зомби-хостов, которые начинают общаться с сервисами, размещенными у клиентов интернет-провайдера. Невозможность подавления данной атаки приводит к перекрытию каналов связи вплоть до полнейшей дестабилизации работы оператора".
"Мы уже очень долго наблюдаем за атаками на российские сервисы-провайдеры. Поскольку такие киберинциденты имеют высокие показатели эффективности, они будут продолжаться и дальше. В данной ситуации мы рекомендуем интернет- и облачным провайдерам позаботиться о подключении профессиональных решений по защите от DDoS-атак. Поскольку хакеры используют тактику "ковровых бомбардировок", справиться с такими атаками самостоятельно будет очень сложно", - предупреждает генеральный директор и сооснователь StormWall Рамиль Хантимиров.
"Мы сталкиваемся с постоянно растущим уровнем угроз для ИТ-сервисов и инфраструктуры. Для предотвращения негативного воздействия мы все время тестируем на киберустойчивость используемые решения, активно инвестируем в расширение штата сотрудников и совершенствование системы информационной безопасности. Это позволяет обеспечивать непрерывность работы наших сервисов, не допускать негативного воздействия на бизнес. Благодаря принятым мерам нам, в частности, удалось отразить мощнейшую DDoS-атаку интенсивностью 207 Гбит/с на широкополосный сегмент сети МТС весной 2024 г. и решать другие задачи по кибербезопасности бизнеса", - сообщила пресс-служба ПАО "Мобильные ТелеСистемы".
"Подходы к защите эволюционировали относительно 2022 г. Помимо услуг по защите ресурсов со стороны провайдеров, компании делают фокус на модернизацию сетевой инфраструктуры и внедрение специализированных средств защиты. Также стоит отметить рост популярности облачных сервисов по защите от DDoS-атак", - таковы тенденции в организации системы защиты от DDoS-атак по мнению Виктора Гулевича.
"99% атак остаются незамеченными для клиентов, которые работают с крупными облачными провайдерами, благодаря работе многоуровневых систем защиты. Например, инфраструктура клиентов Selectel по умолчанию находится под бесплатной базовой защитой от DDoS-атак, которая обеспечивается на сетевом и транспортном уровне сетевой модели OSI. Также мы сотрудничаем с компаниями из сферы информационной безопасности, которые по запросу клиента могут обеспечить продвинутую защиту даже от точечных, целевых атак, на уровне веб-приложения", - делится опытом Антон Ведерников.
Олег Босенко обратил внимание, что злоумышленники в 2024 г. использовали DDoS-атаки для отвлечения ресурсов компаний, прежде всего людских, от другой атаки: "В реализации DDoS-атак новым для 2024 г. стало то, что этот вид применяется для маскирования целевого вектора атаки и осуществляется для оттягивания ресурсов информационной безопасности".