DDoS в России. Атак стало меньше, но атаки стали мощнее

Компания Qrator Labs подвела итоги первого полугодия 2014 года. И они не внушают оптимизма, несмотря на то, что самих атак стало меньше. Это уменьшение злоумышленники компенсировали «качеством»: ростом мощности и продолжительности атак.

Согласно статистике Qrator Labs, в первом полугодии 2014 года одноименный сервис данной компании нейтрализовал 2715 атак против 4735 годом раннее. Максимальное число атак в день снизилось со 151 до 38. Данный факт объясняется тем, что компании начинают применять превентивные меры против атак. Кроме того, сыграло свою роль и то, что сервисы защиты от атак являются самообучающимися и со временем эффективность их работы растет.

Вместе с тем, размер ботнета, задействованного для проведения средней атаки, вырос почти втрое: со 136644 компьютером в 2013 году до 420849 ПК в 2014 году. Также для организации атак злоумышленники начали использовать зомби-сети не только из ПК, но и из серверов. Это позволило увеличить мощность атак, так как серверы подключены к каналам с существенно большей пропускной способностью, чем персональные системы.

Увеличилась и мощность атак. Пиковые скорости достигали 160 Гб/с, а доля атак со скоростью более 1 Гб/с выросла с 1,65% в 2013 году до 7,3% в 2014 году.

Росла и продолжительность атак. Если в 2013 году DDoS атаки продолжались не более 21 дня, то в 2014 году были зафиксированы и такие, которые длились 90 дней. По оценке генерального директора Qrator Labs Александра Лямина, это может быть связано с использованием идеологических мотивов: различного рода «идейные борцы», испытывающие глубокую личную неприязнь к атакуемой компании, в отличие от безыдейных профессионалов, способны в течение весьма длительного времени могут сохранять энтузиазм по отношению к жертве.

И, наконец, организаторы атак обнаружили новую технологическую находку, которая позволила увеличить мощность атак, причем многократно. Использование «мусорных» NTP запросов позволило увеличить плечо атаки до 1300 раз! При применении «мусорных» DNS запросов, что было популярно в 2013 году, мультипликатор был на два порядка меньше. Тем самым задача проведения мощной атаки существенно упрощается даже если ресурсы ограничены. Вместе с тем, операторы связи предпринимают значительные усилия по нейтрализации данной угрозы. Особо была отмечена работа «Ростелекома». Так что есть надежда на то, что данное решение уже скоро злоумышленники использовать уже не смогут. Хотя нельзя исключать и того, что злоумышленники найдут новые технологические решения, эксплуатирующие недоработки и уязвимости транспортных сетевых протоколов, прежде всего, TCP/IP.

В итоге атаки стали комплексными, способными угрожать не просто отдельным сайтам, а целым хостинговым площадкам и ЦОД. В итоге мощные атаки начали отражаться на всех компаниях, являющихся клиентами той же компании, что и жертва атаки. Такие случаи, как отметил Александр Лямин, стали по-настоящему массовыми с конца марта, когда обострились отношения с Украиной и появилась возможность использования дешевого или и вовсе бесплатного протестного потенциала, который, к тому же, способен долгое время сохранять энтузиазм для продолжения атак. Иногда это делалось целенаправленно, и такого рода акции предшествовала тщательная разведка топологии ЦОД, и атаке подвергались все каналы связи.

Хотя в целом атаки все больше становятся делом профессионалов. Если раньше заметную роль в этом сегменте «рынка» играли начинающие киберпреступники, часто не вышедшие из подросткового возраста, то сейчас за атаками все чаще и чаще стоят зрелые во всех смыслах люди и группы.

В отраслевом разрезе произошли довольно серьезные изменения, особенно в финансовом секторе (см. рис.). Количество атак на биржи снизилось, зато выросло на банки и платежные системы. И если раньше DDoS атаки обычно были прикрытием для краж финансовых средств, то теперь они часто используются как инструмент в конкурентной борьбе. Особенно это характерно для малых и средних региональных банков, которые все чаще пускают ложные слухи об отзыве лицензии у других банков, подкрепляя это тем, что сайт жертвы уже не работает. Естественно, вследствие атаки. Положение усугубляется тем, что суды пока крайне благодушны к пойманным за руку злоумышленникам. Обычно они получают совсем небольшие и при том условные сроки. Случаи, когда организаторы и исполнители привлекались к реальным срокам пока единичны. Другие отрасли, где имел место заметный рост – интернет-коммерция и операции с недвижимостью.