Хактивисты начали атаковать российские вузы перед началом приемной кампании. За месяц количество инцидентов выросло вчетверо, предупредили эксперты. «Известия» выяснили, отразится ли это на учебных заведениях и их абитуриентах, а также как университеты могут защитить себя от подобных угроз.
Инцидентов становится больше
Хакеры начали атаковать российские вузы перед приемной кампанией. Об этом «Известиям» рассказал руководитель направлений WAF и Anti-DDoS ГК «Солар» Алексей Пашков.
По его словам, количество DDoS-атак на федеральные высшие учебные заведения в мае 2024 года выросло в 2,5 раза в сравнении с маем прошлого года. А в сравнении с концом апреля 2024-го — в четыре раза.
— При этом резкий рост атак начался с 16 мая и продолжается до сих пор. Подобная активность хакеров может быть связана с приближающимся началом подачи документов в вузы и вступительными экзаменами, — отметил он.
Среднее время DDoS-атак составляет 5,6 минуты — это означает, что злоумышленники не тратят много времени на один вуз и при наличии средств защиты сразу нападают на другие, менее защищенные организации. При этом самая продолжительная атака длилась более часа, поделился собеседник «Известий».
— Мы прогнозируем, что подобная ситуация сохранится вплоть до окончания кампании, и поэтому рекомендуем высшим учебным заведениям и другим организациям позаботиться о доступности своих интернет-ресурсов и подключить средства защиты от DDoS-атак, — заключил он.
Что такое DDoS-атаки
Как объясняет «Известиям» Алексей Пашков, речь идет об атаках злоумышленников, направленных на нарушение работоспособности инфраструктуры организации, ее порталов и веб-ресурсов. Хакеры искусственно создают множественные запросы к интернет-ресурсу, чтобы увеличить на него нагрузку и вывести из строя.
По словам эксперта, до 90% всех мощных DDoS-инцидентов проходят с применением SYN-фуда — разновидности сетевых атак типа «отказ в обслуживании». Сама атака заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.
— Работает это так: представьте, что вы и еще несколько людей открыли несколько десятков вкладок с одним сайтом и постоянно их обновляете. При DDoS-атаке происходит всё то же самое, только многократными «обновлениями» управляет одна группа злоумышленников, — рассказывает ведущий эксперт по сетевым угрозам, web-разработчик компании «Код безопасности» Константин Горбунов.
Зачастую хакеры выбирают разделы сайтов, которые и так требуют много ресурсов, например получение рейтинговых списков абитуриентов и их баллов, и совершают к ним множество запросов на обновление с разных устройств. Для обычных посетителей такой сайт сначала начинает «подтормаживать», а затем и вовсе перестает грузиться.
Мишени для хакеров
Как и прочие атаки, DDoS быстро совершенствуются, потому прибегать к ним могут всё больше злоумышленников — так называемых хактивистов, говорит Константин Горбунов. Если раньше им необходимо было иметь много ресурсов, то есть серверов и ПК, то с развитием виртуализации и средств автоматизации порой даже не нужен собственный сервер.
Сейчас хактивистам достаточно воспользоваться услугами VDS и VPS-хостеров, то есть частными виртуальными платформами, создать множество разных серверов с удаленным управлением, назначить каждому из них разные IP-адреса — и «стартовый набор» для DDoS готов. А «мишени» могут быть разными.
— Рост атак на вузы связан именно с началом приемной кампании и более высокой посещаемостью их сайтов. Такое поведение злоумышленников является типовым, ведь их основная цель — создать нарушения в работе интернет-сервисов с максимальным негативным влиянием на население России. Аналогичные атаки происходят в периоды массовых распродаж на 8 марта, 23 февраля и в другие важные даты, — отмечает Алексей Пашков.
По словам менеджера продукта Qrator Labs Георгия Тарасова, в целом хакеры «заинтересовались» вузами еще в прошлом году — тогда весной и летом на них было направлено 11% всех атак. В то время злоумышленники искали организации, не имеющие защиты от DDoS-атак, и наткнулись на данный сектор. При этом атаки на него могли и всё еще могут принести неприятные последствия — как для самих учебных заведений, так и для их абитуриентов.
— Поскольку многие университеты дают возможность загрузить документы и увидеть свою позицию в списке абитуриентов в режиме онлайн, выведение такого портала из строя может негативно сказаться на всей приемной кампании. Однозначно увеличится количество входящих звонков от взволнованных выпускников и их родителей, будут в замешательстве абитуриенты, поступающие из других регионов, и в целом такая ситуация может принести вузу репутационный ущерб, — поясняет Константин Горбунов.
При этом IT-эксперт кафедры киберспорта факультета игровой индустрии и киберспорта университета «Синергия» Алексей Ермаков называет DDoS-атаки одним из самых простых способов нападения на любой сектор, в том числе, и вузы. По его мнению, это «хулиганство тех, кто не способен на более квалифицированную атаку».
— Таких хакеров можно сравнить с малолетними хулиганами. При этом я сомневаюсь, что за DDoS-атаками стоят, например, студенты. Это типичный хактивизм. Я бы скорее подумал, что атаки совершаются с Украины: так пакостят те, кто не могут, но очень хотят отметиться очередным «подвигом», — говорит Ермаков.
Вероятней всего, заключают эксперты, подобные атаки не прекратятся до начала учебного года. Потому вузам важно оставаться защищенными, а абитуриентам — быть в курсе такой угрозы.
Способы защиты
Для того чтобы обезопасить себя от хактивистов, эксперты «Известий» рекомендуют университетам позаботиться о доступности своих интернет-ресурсов и подключить средства защиты от DDoS-атак.
В частности, отмечает Константин Горбунов, важно предпринять следующие меры:
• внедрить межсетевые экраны и сервисы защиты веб-приложений (WAF), которые географически ограничивают входящие запросы на сайт;
• внедрить системы мониторинга трафика для оперативного выявления подозрительной активности;
• реализовать массив веб-серверов, которые отвечают за обработку запросов, а также балансировщик, который будет распределять нагрузку между ними. Так, даже если один из серверов выйдет из строя, его нагрузку подхватят остальные, и портал продолжит функционировать.
При этом, добавляет Алексей Пашков, с DDoS-атаками в ближайшее время столкнется не только сфера образования. Так, летом может вырасти число атак на ресурсы онлайн-торговли. И в связи с сезоном отпусков — на билетные кассы и сайты с продажами туров.