Особенности DDoS-атак в 2022 году. На смену атакующим кондиционерам и музыкальным колонкам пришли люди

Особенности DDoS-атак в 2022 году. На смену атакующим кондиционерам и музыкальным колонкам пришли люди

2022 год изменил многие базовые принципы, которые лежали в основе проведения DDoS-атак. В итоге вынуждены были перестраиваться и те, кто от них защищается, и те, кто эту защиту обеспечивают.

У подавляющего большинства DDoS-атак на онлайн ресурсы российских организаций до начала 2022 года был ряд общих черт. Используя эти особенности, можно было выстроить эффективный контур защиты, с чем успешно справлялись разработчики решений  в сфере ИБ, провайдеры услуг защиты и интеграторы. К таким типовым чертам относятся следующие:

• Большинство вредоносного трафика шло из-за рубежа, главным образом с территории США, Германии и Азии.
• Источники — простейшие боты и скрипты. Генерируемый такими алгоритмами трафик относительно легко отделим от пользовательского.
• Генераторы трафика — серверы за прокси-сетями и IoT, в частности арендованные вычислительные мощности в облаках, дешевые роутеры, камеры, телевизоры и даже кондиционеры или музыкальные колонки, которые имеют выход в Интернет.
• Явные всплески трафика — большинство атак создавали явные статистические аномалии, на порядки превышая по объему нормальную загрузку атакуемых ресурсов.

В первом квартале 2022 года ситуация изменилась. Начала прослеживаться более четкая и масштабная координация атак на онлайн-ресурсы, в том числе сайты и мобильные приложения компаний разных сфер бизнеса, СМИ, госструктур. Кроме того, выросли компетенции тех, кто организует, проводит и координирует эти атаки, а также появилась поддержка госорганов и ряда крупных международных ИТ-компаний. Благодаря этому широкое распространение получил доступный пользователю любой подготовки инструментарий для участия в атаках, в том числе атакующие сайты с казуальными играми.

Список целей обновлялся ежедневно, при этом явная логика в его формировании отсутствовала. Таким образом, организаторы атак воздействовали не только на IT-инфраструктуру организаций, но и на психологию их владельцев и руководителей — пусть сегодня нас не атаковали, но нервы потрачены все равно. 

НОВОЕ В DDОS

В итоге привычные для DDoS-атак черты сменились новыми. В частности, источники вредоносного трафика в значительной степени стали локализованы на территориях Украины, а также России, откуда к ресурсам обращаются обычные пользователи. Это делает невозможным ограничение доступа к ресурсам по географическому признаку и сильно затрудняет блокировку атак, поскольку системы фильтрации создавались для распределенных по миру источников и были рассчитаны на фильтрацию меньших объемов паразитной нагрузкой в каждой локации. 

Сегодня непосредственными исполнителями атак стали чаще становиться люди, а не боты, точнее к ботам добавились люди, добровольно предоставляющие свои устройства и для их генерации. При этом некоторые из ботов стали убедительнее имитировать поведение реальных людей, что усложняет их фильтрацию.  Простота и удобство инструментов позволяют принять участие в атаках любому. Исполнителей ищут через массовую рассылку в соцсетях, плюс собирают группы в телеграм-каналах, и помимо финансовой составляющей подключают идеологическую. Выросла и длительность атак, которые теперь могут длиться до нескольких суток, при этом к ранее атакованным целям возвращаются повторно. Блокировки по IP потеряли эффективность, так как с одного устройства обычного пользователя может идти и легитимный, и паразитный трафик одновременно на один ресурс. 

ПО НОВЫМ ПРАВИЛАМ

Эти изменения привели к тому, что применяемая защита на базе привычных зарубежных решений стала неэффективна. Контур безопасности необходимо выстраивать с прицелом на то, что сейчас происходит смена направления атак с недоступности ресурсов на финансовый ущерб бизнесу, также есть тренд на использование DDoS как прикрытия целевых атак, направленных на взлом. 

Для противодействия внешним угрозам теперь необходимо использовать более продвинутые решения, которые способны максимально точно блокировать паразитный трафик, не касаясь легитимных пользователей. В реестре российского ПО недавно появилась технология DosGate, разработанная с учетом новых реалий. В зоне повышенного риска сейчас находятся те организации, для которых сайт и приложения — это основной способ коммуникации с пользователями и покупателями. В первую очередь это маркетплейсы, финтех организации, сетевые и онлайн-ритейлеры, туроператоры. Таким компаниям следует провести аудит безопасности, создать или актуализировать план реагирования на атаки с учетом новых реалий и устранить хотя бы критичные для бизнеса уязвимости и слабые места в периметре защиты.