Количество DDos–атак разного уровня на телеком–сектор выросло в 10 раз. В текущем году они предпринимались каждый день.
За первые 7 месяцев 2024 года злоумышленники совершили 2,4 тыс. DDOS–атак, что на 12% больше, чем за аналогичный период прошлого года. Чаще всего под ударом оказывались телеком–сектор и интернет–провайдеры: доля атак на них возросла с 7 до 70%. В 5% случаев хакеры атаковали госсектор, в остальных — малый и средний бизнес, подсчитали в "МегаФоне".
Ночные охотники
Хакеры предпочитают работать в вечернее и ночное время. Активная фаза атак начинается в 10 утра по московскому времени, с 18 до 19 часов их количество снижается, а пик приходится на 20–22 часа. После полуночи активность сокращается в 3–4 раза.
Согласно анализу специалистов "МегаФона", самым популярным днём для хакерских атак стал понедельник. Наиболее активно злоумышленники действовали в январе и июле. Рекордным по количеству атак стало 11 января.
В целом в этом году не было ни одного дня, чтобы не совершались различные DDOS–атаки. Три самые мощные из них по скорости были направлены на компанию из телеком–сектора и два банка. Скорость составила от 276,06 до 60,3 Kpps (количество передаваемых пакетов в секунду) соответственно. Все эти атаки произошли в июле.
Самая масштабная атака по объёму трафика составила 710 Гбит / сек. Это эквивалентно одновременной трансляции по сети 150 тыс. фильмов в качестве Full HD (1080p).
Хакеры постоянно корректируют схемы своей работы. Например, ранее атаки совершались по 10–30 дней подряд, но короткими сессиями около 20 минут. Затем появилась тенденция вести параллельно несколько атак на одного клиента. Сейчас всё чаще наблюдаются длительные и беспрерывные атаки. В этом году самая длинная атака составила 9 дней, тогда как годом ранее — всего четыре. При этом большинство (77%) всё же длятся менее часа.
Сеть под прицелом
Руководитель департамента информационных технологий "ОБИТ" Кирилл Тимофеев подтверждает, что количество атак на телеком–сектор в этом году действительно выросло. "Телеком–отрасль, как и другие, адаптируется к новым реалиям и активно развивает методы защиты от DDOS–атак. Конечно, повышенная активность злоумышленников сказывается на векторе развития отрасли в сторону комплексного обеспечения безопасности. Это сопряжено с трудностями выделения дополнительных ресурсов и денежных средств", — объяснил он.
Генеральный директор "Комфортел" Дмитрий Петров с этим согласен. "Одним из ярких примеров стала недавняя масштабная атака на сеть федерального оператора, входящего в топ–10 РФ, которая привела к выводу из строя нескольких десятков тысяч узлов доступа", — напоминает он.
Ещё один взлом сети в Подмосковье привёл к кратковременному отсутствию связи в нескольких городах. Не так давно больше недели подвергались мощным DDoS–атакам сети петербургского оператора "Простор телеком".
"Если раньше основными целями таких атак были крупные операторы, такие как “Ростелеком” или ”МегаФон”, из–за размещения у них значимых федеральных ресурсов, то сейчас злоумышленники расширили свой арсенал и атакуют более широкий круг. Проблема с каждым днём становится всё актуальнее", — отметил эксперт.
Отстрел дробью
Успешная атака на провайдера может коснуться значительного количества пользователей, компаний и государственных организаций. Поэтому провайдер может являться привлекательной целью для злоумышленников, цель которых нанесение максимального ущерба, говорит руководитель направления сервисов защиты "Нубес" Александр Быков.
"Провайдеры вынуждены увеличивать инвестиции в системы защиты, такие как средства фильтрации трафика и резервирование каналов связи. Это может повышать операционные затраты и стоимость услуг для конечного потребителя", — предупреждает он.
Наиболее распространённый и простой вид атак на телеком — именно DDoS, попытка перегрузить сеть избытком трафика. Это приводит к отказу в обслуживании и выводу сети из строя.
Дмитрий Петров подчёркивает, что телеком–сектор привлекает киберпреступников по простой причине — на него так или иначе завязана вся современная цифровая инфраструктура. "Если злоумышленники хотят парализовать работу каких–либо сервисов, проще всего сделать это, атакуя сеть, через которую они функционируют. Таким образом, даже если сам сервис продолжит работать, его доступность для пользователей будет ограничена", — поясняет он.
Такого же мнения придерживается Кирилл Тимофеев. По его словам, атаки на телеком–операторов более эффективны с точки зрения "захвата" максимального количества организаций, работа которых будет парализована. Это равнозначно тому, как стрелять не просто пулей, а дробью — площадь возможного поражения значительно больше.
"Сейчас быстрыми темпами идёт модернизация, внедрение программных и аппаратных средств, которые обеспечивают непрерывную работу интернет–ресурсов во время атаки, помогают избежать неприятных последствий для абонентов. Конкретные средства зависят от специфики и размера оператора связи. Если мы говорим про крупных, то там присутствуют и системы защиты от DDoS, и средства класса DLP, SIEM системы мониторинга", — рассказывает эксперт.