Киев использовал против России новый принцип кибератак

Украинские провайдеры умышленно перехватывали и блокировали трафик ресурсов рунета
Частота и мощность кибератак растут
Частота и мощность кибератак растут / GettyImages

После начала СВО на Украине российские интернет-ресурсы вынуждены были противодействовать не только привычным DDoS-атакам, но злоумышленникам, использовавшим технологию BGP Hijacking. Об этом «Ведомостям» рассказал гендиректор и сооснователь компании – разработчика решений в области информационной безопасности StormWall Рамиль Хантимиров. Информацию о том, что украинские хактивисты стали использовать такой тип атак, подтвердил и генеральный директор Qrator Labs Александр Лямин. По словам экспертов, BGP Hijacking практиковали отдельные украинские интернет-провайдеры.

BGP Hijacking – это вид кибератаки, при котором злоумышленник, получив доступ к интернет-соединению другого клиента сети, перехватывает его трафик. Затем он может читать и изменять передаваемые пакеты данных, перенаправлять их по другим адресам или блокировать передачу. В результате пользователь не может получить доступ к интернет-ресурсу.

Умышленный перехват трафика может вызвать нарушения в его маршрутизации и увеличение задержек – вплоть до полной сетевой недоступности ресурса, объясняет гендиректор StormWall. По словам Хантимирова, BGP Hijacking равноценно использованию других инструментов для организации кибератак, каждый из которых является нарушением этических норм в сети. Лямин с ним согласен. Такие нормы прописаны ICANN (Корпорация по управлению доменными именами и IP-адресами – НКО, созданной в 1998 г. для регулирования вопросов функционирования интернета), добавил Хантимиров. В частности, подобная атака была проведена на один из российских банков, рассказывает эксперт. Крупный киевский провайдер начал отправлять другим провайдерам инструкцию отбрасывать весь трафик на определенный IP, а не передавать его по назначению. «Хотя большинство провайдеров не принимают такой анонс (маршрутную информацию), некоторые начали его принимать и распространять дальше. В итоге из половины локаций сайт [банка] был недоступен просто потому, что он «блекхолился», пакеты отбрасывались», – объясняет Хантимиров.

Сотрудникам компании пришлось контактировать со всеми провайдерами, с которыми связан этот киевский оператор, и просить их, чтобы они не принимали от него подобные вредоносные анонсы, говорит Хантимиров. По его словам, сам оператор решать проблему отказался.

Нормы, прописанные ICANN, сегодня не соблюдаются, отмечают опрошенные «Ведомостями» эксперты. «Этических норм как таковых в сети не осталось. Нулевой уровень доверия ко всему», – сокрушается директор АО «Синклит» Лука Сафонов.

Сейчас не наблюдается существенного всплеска по числу BGP-перехватов трафика с украинской стороны, говорит основатель и генеральный директор Qrator Labs Александр Лямин. Но он отмечает «значимый инцидент» 8 марта, когда произошел массовый перехват трафика российских сетей украинским интернет-провайдером Lurenet. В результате пользователи из разных стран не могли получить доступ к ресурсам, базирующимся на атакованных сетях, продолжает Лямин. В I квартале 2022 г. наблюдались также блокировки ресурсов различных компаний, попавших под санкции, с использованием BGP Hijacking, уточняет он.

От действий Lurenet в апреле 2022 г. пострадали как минимум «Мегафон», «Билайн» и МТС: по данным Qrator Labs, украинский провайдер перетягивал на себя весь трафик их сетей. Однако представитель «Мегафона» утверждает, что никакого влияния на сеть Мегафона не фиксировалось.

О том, что с началом СВО России на Украине в несколько раз выросло число кибератак, в том числе на СМИ, банки, социально значимые сайты и органы власти, заявлял и президент РФ Владимир Путин, выступая на заседании Совета безопасности 20 мая. Кроме того, были ограничены поставки зарубежных IT-продуктов и программ, а также прекращена техническая поддержка оборудования некоторыми компаниями, заявил он.

Возможность возникновения BGP-атак связана с несовершенством протокола BGP, используемого для маршрутизации в интернете, объясняет Хантимиров. Он не имеет встроенных механизмов проверки легитимности отправляемого маршрута и это остается на совести интернет-провайдеров – как тех, кто распространяет маршруты, так и тех, кто их принимает и передает дальше, говорит он. Когда ошибка (случайная или злонамеренная) происходит в сети достаточно крупного провайдера, это может привести к глобальным сбоям, похожим на тот, что был в 2008 г., когда крупный провайдер в Пакистане решил заблокировать YouTube в стране и заблокировал его во всем интернете, напоминает эксперт.

BGP Hijacking становится распространенным инструментом злоумышленников: их фишинговые сайты могут перетягивать на себя трафик, анализировать его и искать в передаваемых данных пароли, финансовые и персональные данные, рассуждает Лямин. По словам Хантимирова, в настоящий момент существуют механизмы валидации подлинности маршрутов, направленные на предотвращение подобных проблем, но далеко не все провайдеры их применяют, так как они не являются обязательным требованием для работы в интернете.

Помимо BGP Hijacks хакеры используют как стандартные общедоступные инструменты, которые изначально предназначены для тестирования, а не для проведения атак (Apache Benchmark (ab), GoldenEye), так и специально разрабатываемые утилиты, которые доступны для скачивания и каждую неделю получают обновления, повышающие эффективность атак, говорит представитель StormWall. И в том, и в другом случае инструменты бесплатны, нужны лишь вычислительные ресурсы, которые в большинстве случаев уже есть у атакующих (компьютеры), добавляет он.

Распространение широкодоступных инструментов приводит к тому, что растет частота и мощность кибератак. Так, в начале 2022 г. специалисты StormWall фиксировали HTTP-флуд, достигавший на пике 700 000 запросов в секунду (RPS), в то время как обычно атаки достигают лишь 50 000 запросов в секунду. В этом году мы наблюдаем настоящую кибервойну и ее масштабы будут только нарастать, заключает Хантимиров. «Самое плохое заключается в том, что, даже когда эта буря стихнет, огромное количество человек будут обучены запускать DDoS-атаки и будут иметь инструменты для их проведения», – заключает он.

В Минцифры не ответили на запросы «Ведомостей».