"Ковровые бомбардировки" при DDoS-атаках участились

Исследователи аналитического центра компании "Сторм Лабс" (StormWall) отметили рост популярности тактики "ковровой бомбардировки" при DDoS-атаках среди хакеров.

"Количество "ковровых бомбардировок" в России во II квартале 2024 г. выросло в 3,5 раза по сравнению с аналогичным периодом 2023 г. В I квартале 2024 г. рост подобного типа атак в России уже был существенным и составил 174%, но оказалось, что это не предел", - сообщил представитель пресс-службы StormWall.

"Ковровой бомбардировкой" аналитики называют DDoS-атаки, нацеленные на широкий диапазон подсетей, которые могут содержать тысячи IP-адресов. По их мнению, главной причиной популярности принципа является его эффективность, а для достижения максимальных результатов злоумышленники используют в атаках ботнеты.

Наиболее распространенными целями "ковровых бомбардировок" DDoS-атак во II квартале 2024 г. стала ИТ-сфера (на нее пришлось 36% атак), телеком-отрасль (32%) и государственный сектор (18%).

Эксперт по кибербезопасности АО "Лаборатория Касперского" Дмитрий Бунин заметил, что для метода ковровых DDoS-атак характерно то, что их целью является не отдельный ресурс, а канальное оборудование. Оно обычно поддерживает работу не одного IP-адреса, а как минимум подсети. Поэтому подобная атака более мощная, чем атака на один адрес, требует больше вычислительных ресурсов и затрагивает все адреса подсети, что затрудняет ее отражение и перегружает оборудование провайдера, который предоставляет доступ к ресурсу.

Руководитель департамента информационных технологий ООО "Обит" Кирилл Тимофеев рассказал, что тактика "ковровых бомбардировок" при DDoS-атаках не нова. По его словам, она пользуется популярностью среди злоумышленников из-за относительной простоты в реализации по сравнению с многовекторными и DNS-атаками, которые требуют более тщательной подготовки и большего количества ресурсов. Однако от "ковровой бомбардировки" проще защититься с помощью современных систем фильтрации трафика и мониторинга.

"Ковровую бомбардировку" можно сравнить с тем, когда ты хочешь сжечь фантик, но при этом используешь газовый баллончик и, помимо фантика, поджигаешь все вокруг в близлежащем доступе", - отметил Кирилл Тимофеев.

"В 2024 г. активно продвигалась идея "коллективного" DDOS, когда любой желающий мог установить специальное ПО на компьютер и, настроив его по специальной инструкции, участвовать в атаках. Так и происходит сейчас, просто в дополнение к обычным ПК обычных людей, действительно, могли добавиться и ботнеты", - рассказал генеральный директор ООО "Стингрей Технолоджис" (входит в ГК "Swordfish Security") Юрий Шабалин.

На тенденцию роста ботоферм обратил внимание директор направления по развитию облачных продуктов АО "Позитив Текнолоджиз" (Positive Teсhnologies) Денис Прохорчик. По его словам, злоумышленники все чаще используют умные устройства для генерации ботового трафика.

По словам Дмитрия Бунина, чтобы стать частью ботнета, умному устройству нужно иметь операционную систему Linux, небольшие вычислительные мощности и канал взаимодействия с интернетом или внешним миром. Самыми яркими примерами являются умные камеры и Wi-Fi-роутеры.

"Один из ярких примеров ботнетов - Mirai. Он сканирует сеть на наличие IoT-устройств со слабыми паролями, затем получает к ним доступ с помощью учетных данных, используемых по умолчанию, и заражает их", - отметил Дмитрий Бунин.

По словам Юрия Шабалина, ботнеты, в которые попадают умные устройства, обычно настроены на получение команды от управляющего сервера. Такой может служить пост в Telegram-канале или появление на сайте управляющего сервера определенного текста, после которого все компьютеры сети ботов начинают атаку на цель.

"Злоумышленник, контролирующий ботнет, отдает команду всем зараженным устройствам одновременно начать отправлять большое количество запросов на выбранный IP-адрес или подсеть. Вследствие чего атакуемый ресурс или сеть не справляется с объемом запросов, в результате чего виснет или полностью выходит из строя", - рассказал Кирилл Тимофеев.

Менеджер по развитию ООО "Юзергейт" (UserGate) Александр Луганский рассказал, что такая атака может длиться от нескольких минут до нескольких месяцев. Это зависит от настойчивости хакеров и способности сервиса ее отразить.

По словам Дмитрия Бунина, злоумышленников в первую очередь интересуют компании и организации, чья прибыль и работоспособность напрямую зависят от доступности их ресурсов в интернете.

Юрий Шабалин обратил внимание, что не последнюю роль при выборе цели DDoS-атаки играет шум, который может подняться от остановки работы крупного сервиса.

Под это определение, по словам Дениса Прохорчика, подходят компании, работающие в ИТ-сфере, телеком-индустрии и госсекторе, так как эти отрасли обслуживают наибольшее количество пользователей.

"В ближайшем будущем нам остается ожидать увеличения количества подобных DDOS-атак на все индустрии", - заключил Юрий Шабалин.