Цифровая армия: почему боты атакуют российские компании

Специалисты зафиксировали мощнейшую атаку на предприятия страны
Мария Фролова
Фото: ИЗВЕСТИЯ/Зураб Джавахадзе

В начале года армия ботов нанесла мощнейший удар по российским компаниям, сообщили «Известиям» в компании StormWall. С 5 по 31 января эксперты зафиксировали огромное количество DDoS-атак на ведущие отрасли страны. Как работают ботнеты, во сколько хакерам обходится их создание и как бороться с этим явлением — выясняли «Известия».

Сенсация на рынке

По данным компании StormWall, мощность атак на российские предприятия достигала в пике 1,4 Тбит/с, что стало настоящей сенсацией на рынке. По мнению экспертов, атаки были организованы хакерами с целью вымогательства и шантажа у компаний. Больше всего от хакеров пострадали финансовый сектор, телекоммуникационная отрасль и развлекательная сфера.

— Для запуска таких невероятно мощных атак была использована огромная армия ботов. Разрушительный ботнет состоял минимум из 55 тыс. зараженных устройств, среди которых были компьютеры, мобильные телефоны, серверы и даже роутеры, — рассказали в компании.

По подсчетам сотрудников StormWall, максимальная мощность атак на финансовую отрасль в январе выросла на 92%, на телеком-сферу — на 63%, а на игровые хостинги — на 48%. Количество атак тоже увеличилось: на финансовые организации — на 120%, на телеком — на 82%, а на игровые хостинги — на 74% по сравнению с январем прошлого года.

Фото: ИЗВЕСТИЯ/Алексей Майшев

При этом сильнее всего от действий хакеров пострадала сфера развлечений. В результате атак на игровые хостинги игроки испытывали проблемы с подключением к онлайн-играм, а пользователей постоянно выбрасывало из игр. Это приводило к потере доверия со стороны клиентов и нанесло ущерб репутации компаний.

Помимо этого, убытки понесли владельцы игровых серверов и хостеры. Также пострадали ресурсы иных тематик, использующие те же вычислительные мощности и каналы подключения к интернету. Атаки были настолько мощными, что привели к сбоям в работе магистральных провайдеров.

— Многие компании сильно пострадали, поскольку не использовали профессиональные решения защиты от DDoS-атак, — отметил CEO и сооснователь StormWall Рамиль Хантимиров. — Поскольку эти атаки обладают огромной мощностью, справиться с ними могут только облачные сервисы DDoS-защиты, обладающие достаточной емкостью сети фильтрации. Отразить такие атаки самостоятельно невозможно.

Как работает ботнет

Как объяснил «Известиям» Рамиль Хантимиров, «армии ботов» сегодня состоят из десятков тысяч зараженных устройств. Чаще всего ими становятся:

серверы и маршрутизаторы с внешним IP-адресом, имеющие какую-либо уязвимость, которая и используется злоумышленниками для установки вредоносного кода;

устройства IoT (чаще всего веб-камеры): помимо того, что на них редко устанавливают обновления безопасности, пользователи часто оставляют стандартные или простые пароли;

мобильные устройства Android. Они обычно подвергаются заражению при установке приложений из неофициальных источников;

ПК и арендованные виртуальные серверы с атакующим софтом, намеренно установленным их владельцами. Это стало новым трендом 2022 года, когда хактивисты «IT-армии Украины» начали призывать единомышленников подключать свои ПК к атакам на российские ресурсы.

Фото: TASS/dpa/picture-alliance/Silas Stein

Также в атаках часто принимает участие отдельный вид серверов — SOCKS-прокси, которые позволяют направлять атаку с тысяч IP-адресов, даже если запросы сгенерированы на одном или нескольких компьютерах.

— Как правило, одни группы злоумышленников занимаются разработкой инструментария для DDoS-атак (так называемых стрессеров), другие специализируются на создании ботнетов, а третьи арендуют доступ к стрессеру с подключенным ботнетом для запуска DDoS-атак. Создание ботнета обычно обходится недорого, так как используются известные уязвимости. Но это требует высокой квалификации злоумышленника, — говорит Хантимиров.

По данным основателя Qrator Labs Александра Лямина, арендовать ботнет можно всего за несколько сотен долларов в день. Данные, полученные с его помощью, продаются в аренду как целиком, так и частями.

Прогнозы на будущее

По словам экспертов, сегодня ботнеты чаще всего используются для атак на ресурсы игровой сферы и сайтов с контентом для взрослых. Развлекательная сфера, в частности онлайн-игры, всегда пользуются у организаторов DDoS-атак повышенным интересом, поскольку специфика отрасли состоит в том, что грамотное вторжение может легко сорвать запуск игрового проекта или принести ощутимые убытки за короткое время, из-за чего атакующим проще заниматься шантажом.

Даже малейшие проблемы, вызванные атакой, крайне негативно воспринимаются клиентами игровых сервисов, и организация эффективной DDoS-защиты часто требует от компаний в этой сфере повышенного внимания и технических компетенций.

— Мощные атаки на сферу развлечений мы наблюдаем не первый год — например, в начале 2022 года их мощность достигала 1,2 Тбит/с. Безусловно, эта тенденция будет продолжаться и может вести к кратковременным неприятным последствиям для других категорий интернет-ресурсов в случае переполнения пропускной способности провайдеров во время мощных атак, — считает сооснователь StormWall.

Фото: TASS/dpa/picture-alliance/Fabian Sommer

Александр Лямин называет ситуацию, которую мы сейчас наблюдаем в киберпространстве, «уникально динамичной»: если прошлый год был беспрецедентным с точки зрения числа массовых атак, то к его концу тренд пошел на убыль, уступив место целевым атакам, сложность которых постоянно возрастает.

— Продолжается «соревнование брони и снаряда» — борьба мер защиты и способов нападения. В частности, сейчас многие злоумышленники научились эффективно обходить широко применяемую меру защиты от от DDoS-атак — блокировки по GeoIP, — рассказывает эксперт. — На динамичность развития угроз сильно влияет и изменение геополитической ситуации. Многие злоумышленники начали полагать, что правовое регулирование мировой сети оказалось де-факто фрагментированным. И что появились географические сегменты интернет-бизнеса, за атаку на которые «ничего не будет».

Сегодня в Сети нет достаточно эффективных механизмов предотвращения DDoS или массового заражения устройств, отмечает Рамиль Хантимиров. Потому пока единственный эффективный способ борьбы с ботнетами — подключение DDoS-защиты для всех имеющихся онлайн-ресурсов и своевременное выполнение рекомендаций поставщика, заключает собеседник «Известий».