DDoS-атаки все чаще происходят с российских IP-адресов

В 2022 г. DDoS-атаки с использованием ботнетов, созданных внутри России, стали одним из наиболее популярных хакерских сценариев. Об этом «Ведомостям» рассказал основатель Qrator Labs Александр Лямин. По его словам, злоумышленники выбирали для проведения атак серверы, расположенные на территории России, что позволяло им обходить блокировки зарубежного трафика.

Рост числа атак с использованием «российских» ботнетов подтвердили ведущий эксперт отдела анализа защищенности МТС Вадим Шелест, ведущий эксперт группы мониторинга ботнетов «Лаборатории Касперского» Олег Купреев и технический директор АО «Синклит» Лука Сафонов. Большая часть атак с использованием «российских» ботнетов была осуществлена на субъекты критической информационной инфраструктуры, уточнил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов.

Для DDoS-атак используются компьютерные сети с запущенными на устройствах ботами. Каждым таким устройством злоумышленник может управлять удаленно, без ведома владельца. Ботнеты могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами), так и из устройств интернета вещей (IoT): умных колонок, пылесосов и проч. Один ботнет может включать сотни тысяч устройств. Суть атаки заключается в том, что все участники ботнета одновременно начинают отправлять запросы к атакуемому ресурсу, что в результате приводит к отказам системы, а добросовестные пользователи теряют доступ к нему.

В 2022 г. наиболее мощные DDoS-атаки совершались с использованием ботнетов, в которых преобладали российские IP-адреса, рассказал Лямин. В связи с ростом числа и интенсивности атак в начале прошлого года многие ресурсы начали ограничивать доступ для всех IP-адресов, кроме российских, пытаясь блокировать вредоносный трафик из других стран, продолжал эксперт. Но к осени эта мера перестала быть надежной защитой: злоумышленники начали организовывать ботнеты внутри России, объяснил Лямин. Количество самостоятельных ботнетов на территории России подсчитать невозможно, уточнил Лямин. Их границы сложно определить, поясняет он, многие IP-адреса участвуют в нескольких ботнетах сразу, поэтому часто случаются пересечения.

Раньше злоумышленники традиционно не были избирательны относительно географического местоположения уязвимых устройств, значение имело только присоединение к ботнетам как можно большего объема ресурсов, заметил Шелест. Но теперь, чтобы противостоять блокировкам по географическому признаку, им приходится все чаще прибегать к подобной тактике, подтвердил он.

Фильтрация трафика по географическому признаку началась в марте, почти сразу после начала СВО, говорит Сафонов. На уровне страны блокировка реализуется через ТСПУ (технические средства противодействия угрозам), а на уровне отдельных игроков рынка информационной безопасности это можно осуществить с помощью систем защиты от DDoS-атак и Web Application Firewall, сказал Павлов. Весной 2022 г. ограничения по GeoIP вводило большое количество ресурсов: финансовые организации, сайты госуслуг, налоговые сервисы, перечислил Лямин. Сейчас до сих пор из-за рубежа недоступны некоторые [российские] государственные ресурсы и СМИ, знает он.

Основной рост числа атак на ханипоты (от англ. honeypot, буквально «горшок с медом»; ловушка для злоумышленников, имитирующая уязвимое IoT-устройство. – «Ведомости») «Лаборатории Касперского» со стороны российских IP-адресов пришелся на середину 2022 г., сказал Купреев. Количество уникальных устройств, с которых происходили атаки, тогда выросло на 40% по сравнению с аналогичным периодом в 2021 г. Но к концу года показатели вернулись на уровень конца 2021 – начала 2022 г., отметил эксперт. В целом число обнаруженных в России командных серверов, используемых злоумышленниками для управления ботнетами, увеличилось на 45% за прошлый год, а количество целей этих атак – вдвое по сравнению с 2021 г., привел данные Купреев.

В конце января 2023 г. «Ведомости» писали, что количество DDoS-атак на российские IT-системы в 2022 г. выросло на 73% по сравнению с 2021 г. К числу самых громких атак прошлого года эксперты относили атаки на «Госуслуги», Банк России, Роскомнадзор, «Сбер», ВТБ, «РИА Новости», Sputnik, а также сайты президента России и партий «Единая Россия» и «Справедливая Россия».

Для создания ботнетов на территории России злоумышленники использовали три основных вектора, рассказал Павлов. Первый – это атаки на цепочки поставок, когда, например, через обновление прошивки заражались умные телевизоры, объяснил эксперт. Второй – сговор с владельцами условно бесплатных приложений, которые позволяли использовать их для организации атак без ведома пользователей, третий – фишинговые атаки на физлиц и юрлиц с целью заражения домашних и корпоративных компьютеров и дальнейшего управления ими в своих интересах, перечислил Павлов.

Проблему усугубляет ежедневное появление большого количества новых уязвимостей на фоне отсутствия обновлений ПО зарубежных вендоров, замечает Шелест. Клиенты ушедших из России компаний не будут получать обновлений безопасности и со временем обнаруженные в таких системах уязвимости начнут эксплуатироваться злоумышленниками, подтверждает Лямин. По его словам, в 2023 г. это приведет к дальнейшему росту ботнетов, с помощью которых злоумышленники продолжат атаковать ресурсы в России. Кроме этого они начнут совершать атаки и на ресурсы за рубежом, потому что такие ботнеты будут дешевыми, а уязвимых машин будет много в силу отсутствия их поддержки со стороны производителей устройств, опасается он.

Механики защиты от DDoS-атак с использованием ботнетов, созданных внутри России, не отличаются от способов защиты от атак с зарубежных IP-адресов, соглашаются эксперты. «Просто если от зарубежных ботнетов еще как-то можно отгородиться геоблокировкой, то с российскими такое не пройдет – надо проверять каждый запрос на валидность», – объяснил сооснователь и исполнительный директор StormWall Рамиль Хантимиров. Но, как следует из слов эксперта, проводить такие проверки в ручном режиме невозможно.

«Ведомости» направили запросы в Минцифры и Роскомнадзор.

Уточнение. Уже после сдачи материала в печать «Ведомости» получили комментарий представителя Роскомнадзора. Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора использует ТСПУ на трансграничных узлах связи для защиты от DDoS-атак, подтвердил он. По его словам, с начала военной спецоперации Центр отразил не менее 40 значимых атак на операторов связи и российские информационные ресурсы. Преимущественно DDoS-атаки, зафиксированные РКН, были организованы с территории США, Германии и Чехии, доля атак из России составила менее 10%, сказал он.