Именно такие темпы роста продемонстрировали DDoS по итогам ушедшего 2019 года по данным компании Qrator Labs. При этом ситуация в таким сегментах ка

Как отметил технический директор Qrator Labs Артем Гавриченков, в 2019 году злоумышленники продолжали использовать технологии амплификации, позволяющие им значительно усиливать мощность своих атак. Атакающие отправляется запрос на уязвимый сервер, принадлежащей третьей стороне, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В течение 2019 года были выявлены новые амплификаторы (PCAP), а также на практике был впервые на практике зафиксирован уже давно известный в теории вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд). Такие атаки стали одной из наиболее серьезных сетевых угроз. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, что соответствует скорости в 170 Гбит/с, а длительность составляла до 11,5 часов. При этом отражение данного типа атак требует задействования целого комплекса мер, что для небольших компаний может создавать не всегда легко преодолимые сложности. При этом для исполнителей применение данных технологий никаких проблем не составляет. Ими пользуются даже злоумышленники подросткового возраста. Никуда не исчезли и традиционно используемые для организации DDoS-атак ботнеты. Росло как их количество, так и число устройств, которые такой ботнет объединяет. Причем, помимо компьютеров, все чаще используются и устройства Интернета вещей, особенно уязвимые. В качестве примера таких устройств Артем Гавриченков привел устройства, созданные на основе "полуфабрикатов" от китайской компании Xiaonmai, где в фирменной прошивке открыт один из портов, к которому любой желающий может получить доступ с использованием широко известных инженерных паролей. А на данной платформе производят видеорегистраторы несколько десятков компаний из разных стран. Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин также обращает внимание на то, что ботнеты интересны злоумышленникам и потому, что их можно использовать для широкого спектра атак: "Сегодня преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них ̶ реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках ̶ в частности, для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример ̶ Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывая контроль над уже взломанными кем-то ресурсами. В настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies". В 2019 году был выявлен новый потенциальный источник проблем, связанный с использованием так называемых BGP-оптимизаторов, которые перенаправляют трафик, как оказалось, далеко не всегда корректно. Первый громкий инцидент произошел 24 июня, когда трафик многочисленных клиентов оператора Verizon начал идти через инфраструктуру одной небольшой компании, которая с таким объемом не справилась. В итоге многие сервисы оказались недоступными в течение 3 часов, среди которых были Cloudflare, Facebook, Akamai, Apple, Linode и Amazon AWS. В январе 2020 года на одну из точек обмена трафиком в Санкт-Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой Народной Республики. "Многие компании в России начинают закупать BGP-оптимизаторы для снижения расходов на трафик, что в свете введения в действие законодательства про точки обмена трафиком и автономные системы может дать очень неприятный кумулятивный эффект", – предупреждают в Qrator Labs. Другой потенциальной угрозой являются возможные атаки на инфраструктуру промышленных сетей. Как отметил Артем Гавриченков, такие атаки чреваты большим финансовым ущербом для их потенциальных жертв, что открывает большие возможности для кибер-вымогателей и шантажистов. Однако организация такой атаки все же требует довольно высокой квалификации от исполнителей и тщательной разведки. При этом среднее время атаки уменьшилось на 20%. Артем Гавриченков особо отметил то, что стало больше атак длительностью менее минуты, своего рода "пробы пера" злоумышленников, которые пытаются осваивать такого рода инструментарий. Атаки проводятся по разным мотивам. Среди них, как отметил Артем Гавриченков, есть как корыстные (шантаж, вымогательство, маскировка других действий, например, целенаправленной атаки или кражи), так и нет (самореклама, хулиганство, политически и идеологические причины, желание не допустить распространения какой-то информации). Но в целом DDoS-атаки стали рутиной. Генеральный директор Qrator Labs Александр Лямин сравнил их с зимой, которая приходит всегда, но каждый раз по-разному. Ссылка на источник