Цифровая армия: почему боты атакуют российские компании

В начале года армия ботов нанесла мощнейший удар по российским компаниям, сообщили «Известиям» в компании StormWall. С 5 по 31 января эксперты зафиксировали огромное количество DDoS-атак на ведущие отрасли страны. Как работают ботнеты, во сколько хакерам обходится их создание и как бороться с этим явлением — выясняли «Известия».

Сенсация на рынке

Домен на пропажу: мошенники нашли способ перехвата сайтов узнаваемых брендов

Почему нужно быть осторожным при визитах на страницы промоакций

По данным компании StormWall, мощность атак на российские предприятия достигала в пике 1,4 Тбит/с, что стало настоящей сенсацией на рынке. По мнению экспертов, атаки были организованы хакерами с целью вымогательства и шантажа у компаний. Больше всего от хакеров пострадали финансовый сектор, телекоммуникационная отрасль и развлекательная сфера.

— Для запуска таких невероятно мощных атак была использована огромная армия ботов. Разрушительный ботнет состоял минимум из 55 тыс. зараженных устройств, среди которых были компьютеры, мобильные телефоны, серверы и даже роутеры, — рассказали в компании.

По подсчетам сотрудников StormWall, максимальная мощность атак на финансовую отрасль в январе выросла на 92%, на телеком-сферу — на 63%, а на игровые хостинги — на 48%. Количество атак тоже увеличилось: на финансовые организации — на 120%, на телеком — на 82%, а на игровые хостинги — на 74% по сравнению с январем прошлого года.

Фото: ИЗВЕСТИЯ/Алексей Майшев

Синдром йцукена: названы самые популярные пароли 2022 года

Как создать сложные комбинации, которые «не по зубам» злоумышленникам

При этом сильнее всего от действий хакеров пострадала сфера развлечений. В результате атак на игровые хостинги игроки испытывали проблемы с подключением к онлайн-играм, а пользователей постоянно выбрасывало из игр. Это приводило к потере доверия со стороны клиентов и нанесло ущерб репутации компаний.

Помимо этого, убытки понесли владельцы игровых серверов и хостеры. Также пострадали ресурсы иных тематик, использующие те же вычислительные мощности и каналы подключения к интернету. Атаки были настолько мощными, что привели к сбоям в работе магистральных провайдеров.

— Многие компании сильно пострадали, поскольку не использовали профессиональные решения защиты от DDoS-атак, — отметил CEO и сооснователь StormWall Рамиль Хантимиров. — Поскольку эти атаки обладают огромной мощностью, справиться с ними могут только облачные сервисы DDoS-защиты, обладающие достаточной емкостью сети фильтрации. Отразить такие атаки самостоятельно невозможно.

Как работает ботнет

Милости просим: социально ориентированные НКО хотят защитить от хакеров

Участились покушения на персональные данные миллионов россиян, живущих поддержкой общественных организаций

Как объяснил «Известиям» Рамиль Хантимиров, «армии ботов» сегодня состоят из десятков тысяч зараженных устройств. Чаще всего ими становятся:

серверы и маршрутизаторы с внешним IP-адресом, имеющие какую-либо уязвимость, которая и используется злоумышленниками для установки вредоносного кода;

устройства IoT (чаще всего веб-камеры): помимо того, что на них редко устанавливают обновления безопасности, пользователи часто оставляют стандартные или простые пароли;

мобильные устройства Android. Они обычно подвергаются заражению при установке приложений из неофициальных источников;

ПК и арендованные виртуальные серверы с атакующим софтом, намеренно установленным их владельцами. Это стало новым трендом 2022 года, когда хактивисты «IT-армии Украины» начали призывать единомышленников подключать свои ПК к атакам на российские ресурсы.

Фото: TASS/dpa/picture-alliance/Silas Stein

Взломай меня, если сможешь: какими будут главные ИТ-угрозы в 2023 году

Атаки злоумышленников всё чаще будут носить окраску политического активизма

Также в атаках часто принимает участие отдельный вид серверов — SOCKS-прокси, которые позволяют направлять атаку с тысяч IP-адресов, даже если запросы сгенерированы на одном или нескольких компьютерах.

— Как правило, одни группы злоумышленников занимаются разработкой инструментария для DDoS-атак (так называемых стрессеров), другие специализируются на создании ботнетов, а третьи арендуют доступ к стрессеру с подключенным ботнетом для запуска DDoS-атак. Создание ботнета обычно обходится недорого, так как используются известные уязвимости. Но это требует высокой квалификации злоумышленника, — говорит Хантимиров.

По данным основателя Qrator Labs Александра Лямина, арендовать ботнет можно всего за несколько сотен долларов в день. Данные, полученные с его помощью, продаются в аренду как целиком, так и частями.

Прогнозы на будущее

Опасности связи: сбои в системах бронирования и приложениях связали с хакерами

Что еще могло спровоцировать проблемы в работе сервисов банков, авиакомпаний и навигации

По словам экспертов, сегодня ботнеты чаще всего используются для атак на ресурсы игровой сферы и сайтов с контентом для взрослых. Развлекательная сфера, в частности онлайн-игры, всегда пользуются у организаторов DDoS-атак повышенным интересом, поскольку специфика отрасли состоит в том, что грамотное вторжение может легко сорвать запуск игрового проекта или принести ощутимые убытки за короткое время, из-за чего атакующим проще заниматься шантажом.

Даже малейшие проблемы, вызванные атакой, крайне негативно воспринимаются клиентами игровых сервисов, и организация эффективной DDoS-защиты часто требует от компаний в этой сфере повышенного внимания и технических компетенций.

— Мощные атаки на сферу развлечений мы наблюдаем не первый год — например, в начале 2022 года их мощность достигала 1,2 Тбит/с. Безусловно, эта тенденция будет продолжаться и может вести к кратковременным неприятным последствиям для других категорий интернет-ресурсов в случае переполнения пропускной способности провайдеров во время мощных атак, — считает сооснователь StormWall.

Фото: TASS/dpa/picture-alliance/Fabian Sommer

Точнее некуда: как готовятся изощренные атаки на банки и госорганы

Число целевых вторжений увеличилось почти наполовину

Александр Лямин называет ситуацию, которую мы сейчас наблюдаем в киберпространстве, «уникально динамичной»: если прошлый год был беспрецедентным с точки зрения числа массовых атак, то к его концу тренд пошел на убыль, уступив место целевым атакам, сложность которых постоянно возрастает.

— Продолжается «соревнование брони и снаряда» — борьба мер защиты и способов нападения. В частности, сейчас многие злоумышленники научились эффективно обходить широко применяемую меру защиты от от DDoS-атак — блокировки по GeoIP, — рассказывает эксперт. — На динамичность развития угроз сильно влияет и изменение геополитической ситуации. Многие злоумышленники начали полагать, что правовое регулирование мировой сети оказалось де-факто фрагментированным. И что появились географические сегменты интернет-бизнеса, за атаку на которые «ничего не будет».

Сегодня в Сети нет достаточно эффективных механизмов предотвращения DDoS или массового заражения устройств, отмечает Рамиль Хантимиров. Потому пока единственный эффективный способ борьбы с ботнетами — подключение DDoS-защиты для всех имеющихся онлайн-ресурсов и своевременное выполнение рекомендаций поставщика, заключает собеседник «Известий».