(Без)Вредный DDoS

Сегодня поговорим о многим уже набивших оскомину ддосах. Обсудим, откуда у, казалось бы, простого метода такая популярность? Взлом ли это в прямом смысле слова? И что за DDoS-атакой иногда кроется на самом деле?

DDoS. Сценарий атаки. Цели и задачи злоумышленников

DDoS с английского «Distributed Denial of Service» дословно расшифровывается как распределенный отказ в обслуживании. Это хакерская атака на информационные системы с целью сделать их недоступными для использования пользователем.

Как правило, злоумышленники отправляют огромное количество запросов на ресурс, чтобы превысить допустимую нагрузку на сервер, а также пропускную способность компонентов инфраструктуры.

DDoS-атаки относительно просты и недороги в исполнении и потому часто используются злоумышленниками с невысокими профессиональными навыками. Зачастую цель такой атаки состоит в продвижении неких идей – политических, экологических, каких-то общественно-резонансных тем. Кроме того, некоторые хакеры таким образом привлекают внимание к своей персоне или группировке. Все они работают за небольшой гонорар, но иногда можно встретить фанатичных личностей, которые работают бесплатно, либо за донаты.

Результатом такой атаки станет отказ в обслуживании критически важных сервисов. По-простому информационная система будет недоступна для использования.

Но все ли так просто? И зачем злоумышленникам «ложить» сайты и информационные системы? 
Давайте разбираться

Киберреалии 2023. Сценарии сложных таргетированных атак

Киберреалии 2023 года таковы, что для взлома информационного ресурса злоумышленнику не требуется высоких профессиональных навыков и наработок. Зачастую готовые эксплойты легко можно найти в сети в открытом доступе, а также в специализированных телеграм-сообществах. Возможно, вы даже видели и читали такие каналы известных кибергруппировок. Некоторые из них дружаттесно взаимодействуют между собой, договариваются о совместном проведении атаки - делят ее на этапы в зависимости от текущих навыков и умений группировки.

Здесь стоит отметить, что DDoS часто предвосхищает сложную кибератаку на инфраструктуру компании. То есть ддосеры в течение длительного времени, вплоть до нескольких суток, посылают огромное количество запросов на ресурсы компании, отвлекая на себя внимание службы безопасности. А в это время другая кибергруппировка занимается проникновением во внутреннюю инфраструктуру.

Так выглядит сложная таргетированная атака. На рисунке видно, что некая хакерская группировка ддосит ресурсы, вызывая отказ в обслуживании, а другая тем временем взламывает инфраструктуру и крадет ценную информацию.

Но на этом атака может не закончиться. Злоумышленник способен незаметно закрепиться в инфраструктуре, чтобы иметь возможность в любой момент воздействовать на защищаемую информацию.

«Все это для пользователя может означать только одно – сложные целенаправленные атаки сегодня практически невозможно выявить без специализированных технических систем, а главное опытных специалистов, которые в огромном потоке поступающих событий смогут отличить ложное событие от «боевого», а также отследить цепочки событий, правильно сопоставить их и вовремя детектировать зарождающуюся атаку», – Максим Игнатьев, руководитель группы SOC-аналитиков центра мониторинга SOCRAT.

Так в мае этого года на информационные ресурсы компании нашего партнера НПЦ КСБ была совершена беспрецедентная DDoS-атака, которая вызвала отказ в обслуживании сервисов компании. Клиентам в течение 12 часов был недоступен личный кабинет в приложении и на сайте – они не могли выполнять свою текущую работу.

Атака была совершена по политическим мотивам. Ответственность за ее проведение взяла на себя украинская проправительственная кибергруппировка – IT ARMY of Ukraine.

SOC-специалисты вовремя обнаружили атаку и остановили ее развитие. И поэтому обрушившийся вал звонков на службу техподдержки – единственное последствие, с которым столкнулась компания в итоге происшествия.

Кейсы. Самые громкие DDoS-атаки 2023

Как мы уже писали сегодня DDoS – популярный вид атак. И чтобы не быть голословными мы приготовили для вас подборку самых громких атак за последний год.

DDoS-атака на систему бронирования билетов Leonardo

28 сентября Ростех сообщил о масштабной DDoS-атаке на систему бронирования авиабилетов Leonardo, в которой содержится информация о расписании рейсов, пересадках пассажиров, продажах. Отвалились функции бронирования билетов и онлайн-регистрация.

В результате пассажиры «Аэрофлота», «России» и «Победы» не могли зарегистрироваться на рейсы, а в аэропортах Москвы и Санкт-Петербурга образовались огромные очереди. Кроме того, указанным авиакомпаниям пришлось задержать рейсы.

Атака KillNet на европейские аэропорты

Хакеры из группировки KillNet положили информационные системы в 13 европейских аэропортах. В результате их сайты стали полностью недоступны – отвалилось расписание, статусы рейсов и другая важная информация. Пострадали Германия, Франция, Словения и Польша.

Ребята хорошо повеселились, и в сети завирусилась карта с локациями взломанных аэропортов, на пересечении которых можно легко визуализировать исконно русское «культурное» слово.

Это уже не первая история с атаками на зарубежные аэропорты от данной группировки. В 2022 году США обвинила KillNet в кибератаке на крупнейшие американские авиагавани. Результатом действий, как водится, стал отказ в работе 14 сайтов.

Атака на РЖД

В июле 2023 года РЖД пережили крупную DDoS-атаку на свои информационные ресурсы. Традиционно перестали функционировать сайт и мобильное приложение компании. При этом ресурсы открывались, но купить билеты через них было невозможно. Похожая атака на компанию произошла и 26 февраля 2022 года.

Атаки на ритейлеров

От хакерской активности в 1м квартале 2023 года сильно пострадал российский ритейл, в том числе «Перекресток» и «Пятёрочка». Злоумышленники использовали ботнеты для запуска мощных атак и тем самым останавливали работу платежных систем, онлайн-касс, сервисов доставки товаров. Покупатели не могли оформить заказ и оплатить покупку, а владельцы интернет-магазинов несли колоссальные убытки.

Это не все кейсы за 2023 год, но все они однозначно показывают уязвимость любого бизнеса перед самыми простыми действиями злоумышленников. И чтобы не стать жертвой, мы рекомендуем позаботиться хотя бы о базовой защите.

Итак, что делать и как защититься?

• Установите резервный канал связи.

           Если произойдет DDoS-атака, у вас будет резервный канал, который позволит переключиться на него без остановки операций.

• Воспользуйтесь услугами по защите от DDoS-атак у вашего хостинг-провайдера.

           Ряд хостинг-провайдеров предлагает услуги по защите от DDoS-атак, что может помочь в простых случаях. Однако стоит учитывать, что инфраструктура хостинг-провайдера может не выдерживать повышенных нагрузок, создаваемых при проведении DDoS-атак.

• Воспользуйтесь услугами компании, специализирующейся на предотвращении DDoS-атак.

           Инфраструктура этих компаний выстроена таким образом, чтобы выдерживать экстремальные нагрузки в ходе атаки, но при этом пропускать легитимный трафик.