Защищены ли аэропорты от DDoS-атак

Крупнейшая российская авиакомпания «Аэрофлот» 28 сентября подверглась мощной DDoS-атаке, которая была направлена на систему бронирования авиабилетов Leonardo («Леонардо», разработка компании «Сирена-Трэвэл» совместно с «Ростехом»). Из-за этого сайт авиакомпании не открывается для пользователей. Из-за сбоя были задержаны более 16 рейсов в московском аэропорту «Шереметьево».

DDoS-атаки начались утром 28 сентября. Ближе к вечеру атаки на «Леонардо» возобновились, сообщил «Ведомостям» представитель «Ростеха». Они идут с территории нескольких стран, включая Украину, уточнил он.

«На данный момент наблюдаются небольшие сбои. Цель злоумышленников, атакующих "Леонардо", заключается в остановках авиаперевозок в России», – отметил вечером 28 сентября представитель госкорпорации. Для отражения атак на инфраструктуру системы бронирования авиабилетов задействована собственная команда информационной безопасности, а также привлечены две дополнительные распределенные команды, добавил он.

При входе на сайт со стационарного компьютера пользователь получал уведомления о том, «доступ к сайту временно ограничен владельцем веб-ресурса». При этом мобильная версия сайта и приложение «Аэрофлота» доступны. Сайты дочерних авиакомпаний «Аэрофлота» «Россия» и «Победа» также работали в штатном режиме.

С утра «Аэрофлот», «Россия» и «Победа» сообщали о сбоях в работе системы бронирования авиабилетов. В результате авиакомпании столкнулись с проблемами при регистрации пассажиров. Позже авиакомпании сообщали о восстановлении работы всех сервисов.

В «России» отмечали, что из-за сбоя из «Шереметьево» задерживался вылет рейсов в Калининград, Пермь, Мурманск, Ульяновск, Санкт-Петербург и в Сочи. Помимо этого также задерживался вылет рейсов из Сочи в «Шереметьево» и Стамбул, а также из Калининграда, Екатеринбурга, Мурманска, Уфы, Хибин в Санкт-Петербург. Согласно информации на онлайн-табло аэропорта «Шереметьево», на вылет были задержаны не менее 16 рейсов авиакомпаний «Победа» и «Аэрофлот», в том числе в Сочи, Даламан, Анталью, Астану и др.

«Ведомости» направили запросы в «Аэрофлот», UTair, «Уральские авиалинии» (все три авиакомпании пользуются системой Leonardo), S7 (пользуются российской системой Online Reservation System – ORS), аэропорты «Шереметьево», «Домодедово», а также в крупные аэропортовые холдинги.

Представитель московского аэропорта «Внуково» заявил, что все затруднения в функционировании сервисов были устранены, а аэропорт работает в штатном режиме.

Это действительно могла быть DDoS-атака на систему Leonardo, предполагает директор департамента транспорта и логистики компании «Рексофт» Александр Семенов. В этом случае из-за нее системы регистрации во всех аэропортах не могли бы оформлять пассажиров, поскольку не получали информации о билетах из Leonardo, отмечает он. Вероятность того, что недоступность системы бронирования была связана именно с DDoS-атакой, исключать нельзя, согласен менеджер по продукту Kaspersky DDoS protection Александр Гутников. Это была таргетированная атака скорее среднего масштаба, оценивает коммерческий директор «Кода Безопасности» Федор Дбар.

Модель DDoS-атаки предполагает наличие командного центра и зараженных ботов (обычных компьютеров), объясняет замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. Длиться подобные атаки могут значительное время – до нескольких суток, говорит директор регионального инжинирингового центра SafeNet «Национальной технологической инициативы» (НТИ) Денис Кувиков. Задача злоумышленников заключается в «перегрузке» системы большим количеством запросов чтобы сделать ее недоступной для взаимодействия с другими системами, говорит Семенов. 

В зависимости от уровня атаки она может повлечь за собой отказ работы сервиса или серверного оборудования, кроме этого, DDoS может привести к получению данных, хранимых на сервере, предупреждает эксперт инжинирингового центра SafeNet НТИ Игорь Бедеров. Один из наиболее опасных сценариев – это тот, при котором злоумышленнику удается добраться до данных системы, зашифровать их или похитить, отмечает директор направления систем резервного копирования компании «Киберпротекта» Сергей Лебедев.

Злоумышленники, проводя DDoS-атаку, могут целиться в блокировку сервиса или пытаться скрыть следы атак другого типа, например, кражи данных, захвата управления систем и т. п., добавляет руководитель направления экспертизы и аналитики компании «Гарда Технологии» (входит в ГК «Гарда») Алексей Семенычев. При комбинированных целевых атаках DDoS используется в качестве отвлекающего маневра, чтобы перетянуть на себя внимание и ресурсы специалистов информационной безопасности, продолжает Гутников. По его словам, злоумышленники могут попытаться, например, проникнуть в инфраструктуру организации, украсть данные или провести deface сайта (взлом сайта и публикация на нем сообщения злоумышленников).

Официальной информации о странах - источниках трафика пока нет, но, судя по емкости атаки, это одна из европейских группировок, обращает внимание Пермяков. В то же время раньше источники атак были по большей части зарубежные, поэтому бороться с DDoS-атаками помогала блокировка иностранных IP-адресов, напомнил менеджер продукта Qrator Labs Георгий Тарасов. Но сейчас паттерны трафика поменялись: атакующие осознали, что во многих случаях компании для защиты от атак применяют метод блокировки зарубежного трафика (по GeoIP), и научились с успехом обходить эту меру. Существенная доля трафика атак теперь генерируется внутри российских сетей и блокировки пакетов из-за рубежа совершенно перестали быть результативными, говорит Тарасов.

Успешность атаки на сервисы Leonardo свидетельствует о том, что их система защиты от DDoS-атак не всегда справляется с современными вызовами безопасности и требует обновления для того, чтобы оперативно реагировать на появление новых типов атак, обращает внимание Тарасов. Учитывая, что жалобы исходили от довольно крупных авиакомпаний, таких как «Аэрофлот», «Победа» и «Россия», следует признать, что архитектура системы и применяемые инструменты защиты от DDoS оказались недостаточно надежными и должны быть пересмотрены, согласен Семенычев.

Так как DDoS-атака предполагает исчерпание общественно доступного ресурса (ширины канала, памяти сервера, свободных подключений), то факт атаки не говорит о слабой защите, возражает Пермяков. При достаточном ресурсе можно удачно атаковать практически любую систему, а о надежности защиты может говорить время восстановления системы, а также скорость развертывания систем очистки трафика, указывает он.

На 100% никто не застрахован, вероятность достижения злоумышленником цели всегда существует, даже в самых защищенных компаниях, подтверждает Лебедев. При грамотной организации системы резервного копирования компания может в короткое время вернуться к привычной работе, «откатив» состояние системы до той точки, когда все работало штатно, говорит он.

Чтобы всерьез обезопасить себя от DDoS-атак, необходимо оборудование, алгоритмы и инфраструктура для их быстрого обнаружения, запас канальной емкости и серверных мощностей для фильтрации паразитного трафика, рекомендует Тарасов. Кроме того, чтобы не стать жертвой современных злоумышленников, не следует пользоваться устаревшими методами блокировки нелегитимного трафика, такими как GeoIP, заключил он.