Тотальное заражение: хакеры стали использовать разрушительный тип DDoS-атак

В третьем квартале 2023 года в России и других странах мира был зафиксирован новый тип разрушительных DDoS-атак, к которым оказались не готовы многие компании. Хакеры стали использовать так называемые смешанные ботнеты, содержащие сразу несколько вредоносных программ. Подробности о том, почему киберпреступники избрали такую тактику, чем она опасна и какие способы защиты от нее существуют сегодня, — в материале «Известий».

Векторы заражения

О новом типе DDoS-атак с применением смешанных ботнетов говорится в отчете компании StormWall, которая специализируется на информационной безопасности (ИБ). Смешанные ботнеты — это группы устройств, вовлеченные в DDoS-атаки и зараженные сразу несколькими вредоносными программами.

При этом каждое программное обеспечение (ПО), которое используют хакеры, имеет свои собственные возможности и вектор атак. Это делает смешанные ботнеты универсальным инструментом киберпреступников, который ко всему прочему отличается устойчивостью к средствам защиты.

Фото: Global Look Press/dpa/Paul Zinken

«Смешанные ботнеты активно использовались злоумышленниками в разных регионах по всему миру, а также в России. Поскольку данный инструмент для запуска атак начал применяться недавно, многие компании еще не имеют надежной защиты от этой угрозы, и хакерам удается причинить бизнесу много вреда», — отметили в компании StormWall.

Другим важным трендом третьего квартала 2023 года специалисты по информационной безопасности назвали существенное увеличение числа многовекторных атак, направленных сразу на несколько частей сетевой инфраструктуры, в том числе сайты, производственные процессы и корпоративные сети. Число подобных инцидентов в мире выросло на 83% к прошлому году, а в России — на 16%. Кроме того, эксперты зафиксировали всплеск DDoS-атак, направленных против веб-приложений различных компаний: их рост в мире составил 48%, а в России — 14%.

Моя оборона: на смену тривиальным DDoS-атакам идут невидимые трояны

Эксперты высказывают опасения относительно нейросетей

Механизмы атак

Как говорит в беседе с «Известиями» инженер по информационной безопасности Лиги цифровой экономики Степан Мирзоян, в ходе DDoS-атак ботнетов специалисты по ИБ сталкиваются со сложностями в обнаружении легитимного и нелегитимного трафика.

— Смешанные ботнеты сочетают в себе различные типы зараженных устройств, операционных систем и вредоносных программ, поэтому их сложнее определить, — говорит эксперт. — Действия злоумышленников маскируются в череде бесконечных запросов под действия легитимного пользователя.

В свою очередь главный эксперт блока анализа защищенности Infosecurity в компании Softline Алексей Гришин называет использование смешанных ботнетов одним из достаточно новых методов кибератак, которые позволяют злоумышленникам обойти системы защиты потенциальных жертв и увеличить эффективность преступных действий. Такой метод часто применяется при атаках на организации: использование смешанных ботнетов увеличивает шансы на успех. При этом смешанные ботнеты могут использоваться не только для DDoS-атак, но также для фишинга и многого другого.

Фото: ИЗВЕСТИЯ/Константин Кокошкин

— Подобный «инструмент» позволяет злоумышленникам обходить системы защиты, которые могут быть настроены на определенный тип атаки, — объясняет Алексей Гришин. — А сама атака с использованием смешанных ботнетов становится сложной и многоуровневой.

Кроме того, отмечает эксперт, использование смешанных ботнетов позволяет злоумышленникам скрыть свою истинную локацию и использовать различные уязвимости в системах безопасности. Это в свою очередь усложняет процесс обнаружения и блокирования атаки.

Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин напоминает, что применять ботнеты хакеры пытались еще давно. В частности, в 2016 году ботнет Mirai успешно атаковал различные «умные» устройства, подбирая пароли к ним. Позже к этим действиям добавились еще и попытки захвата устройств через другие уязвимости — в результате простая смена паролей уже не могла помочь пользователям.

Поймали волну: что стоит за весенними DDoS-атаками на российские компании

Хакеры стали использовать комплексный подход в своих действиях

Бизнес под ударом

Тактика использования смешанных ботнетов показывает себя довольно эффективно для проникновения в корпоративный сегмент, говорит Степан Мирзоян. По словам эксперта, проблема в том, что даже четко выстроенная защита не всегда помогает обнаружить бота, который маскируется под устройство. В результате у хакеров появляется большое преимущество перед системами обнаружения проникновения в среду.

— Злоумышленники создают распределенную сеть, которую труднее вывести из строя, — рассказывает собеседник «Известий». — Если один тип устройств обнаружен и заблокирован, другие устройства могут продолжить атаку.

Фото: РИА Новости/Евгений Одиноков

Как отмечает Мирзоян, перед злоумышленниками стоят четкие задачи — компрометации системы и кражи данных для дальнейшего шантажа. После проникновения в контур защиты у хакеров на руках «карт-бланш», поэтому данную тактику часто используют против компаний. При этом, по словам эксперта, разные оценки говорят о том, что сегодня многие российские компании не обеспечивают надлежащий уровень защиты от DDoS-атак, которые участились за последние несколько лет.

Злоумышленники между тем постоянно совершенствуют механизмы обхода средств защиты. Поэтому бизнесу необходимо инвестировать в развитие контура защиты, который будет предотвращать массовое заражение устройств и вредоносные действия, подчеркивает специалист.

— Безопасность — это комплексный процесс, — говорит Сергей Полунин. — Чтобы успешно противостоять смешанным ботнетам, нужны инструменты, учитывающие весь спектр тактик злоумышленников.

Сами по себе ботнеты не создают каких-то принципиально новых угроз: речь идет только об упрощении жизни самим хакерам, говорит Полунин. При этом против угроз «нулевого дня», которые используются при комплексных атаках, классических средств может оказаться недостаточно. И тогда требуется вручную настраивать уязвимые системы, чтобы компенсировать потенциальный ущерб.

Инструменты защиты

Эксперты, опрошенные «Известиями», говорят о том, что защита от DDoS-атак с использованием смешанных ботнетов требует повышенного внимания и технических компетенций. По словам Степана Мирзояна, прежде всего нужно соблюдать базовые правила кибергигиены: например, не применять простые пароли и пользоваться только достоверными источниками, чтобы минимизировать количество зараженных устройств.

Фото: ИЗВЕСТИЯ/Анна Селина

— Для защиты от атак смешанных ботнетов существует ряд механизмов и инструментов, которые могут быть применены в комплексе, — рассказывает Алексей Гришин. — Один из таких механизмов — использование балансеров, которые могут распределять трафик между различными серверами, что помогает уменьшить нагрузку на каждый сервер и повысить его стойкость к атакам.

Еще один инструмент — реверс прокси, который позволяет скрыть реальный IP-адрес сервера и защитить его от DDoS-атак. Он может также использоваться для фильтрации трафика и блокирования подозрительных запросов.

DDoS и ныне там: Россия стала одной из самых кибератакуемых стран мира

Рост угроз связывают с появлением хактивистов

Кроме того, указывает Алексей Гришин, можно применять инструменты NGFW (Next Generation Firewall), которые обеспечивают более тонкую настройку правил фильтрации трафика и блокирования подозрительных запросов. Также важным механизмом защиты является использование систем мониторинга и обнаружения атак, которые могут распознавать подозрительную активность и предупреждать об атаке заранее.

— В целом защита от атак смешанных ботнетов требует комплексного подхода и использования различных механизмов и инструментов, — заключает эксперт. — Кроме того, важно постоянно обновлять системы и программное обеспечение, чтобы минимизировать риски уязвимостей и атак со стороны злоумышленников.