Крупной DDoS–атаке в минувшие выходные подвергся петербургский интернет–провайдер ООО "Невалинк", обслуживающий около 150 тыс. абонентов. Около двух суток пользователи испытывали большие сложности с доступом во Всемирную сеть, что вызвало вал негативных комментариев в соцсетях.
“
"Это была разноплановая атака, справиться с которой было сложно. Мы прикладывали титанические усилия — все службы работали круглосуточно, однако направление атаки, цели, источники постоянно менялись. Нам на ходу пришлось менять систему защиты, поскольку хакеры нашли способы её обхода. На данный момент “технические средства противодействия угрозам”, о которых много говорит правительство, нам не помогли, и мы не только не видим помощи, но и испытываем давление со стороны государства. В итоге мы понесли огромные финансовые потери и, естественно, наблюдаем отток абонентов. Думаю, что это именно то, что было задумано атакующими", ― поделился с корреспондентом "ДП" генеральный директор ООО "Невалинк" Антон Шокин. Общий объём понесённых убытков в компании оценивают в сумму более 20 млн рублей. Ранее столь крупных атак на провайдера не было.
Хакеры прокачались
Атакам подвергаются и другие провайдеры. "Только за недавнее время были атакованы: ПАКТ, ПИН, “Уфанет”, “Спидилайн” и другие, и сразу после нас хакеры переключились на “Юпитертелеком” и “ЭтХоум”", — утверждает Антон Шокин.
"Интересно, что атаки переходят из коммерческой плоскости, направленной на извлечение выгоды, в политически мотивированную. Географическое распределение, на наш взгляд, не играет особой роли в сознании и целеполагании злоумышленников. Раньше целью были крупные операторы, в последнее же время под атаки попадают как средние, так и более мелкие провайдеры", ― замечает заместитель генерального директора по стратегическим проектам "ОБИТ" Михаил Телегин.
На инфраструктуре операторов завязано жизнеобеспечение многих компаний. Если атакующий хочет нанести вред конкретной организации, ему легче действовать через сеть оператора, у которого располагаются ресурсы организации. Михаил Телегин добавляет: если ещё год назад оператор был уверен, что он защищён, то сегодня механика и инструменты злоумышленников ежедневно совершенствуются, и 100%–ной гарантии, что тебя не взломают, нет.
По словам технического директора компании "Комфортел" Владимира Бутырина, атаки всё чаще ориентированы на конкретных абонентов или на конкретные подсети, а не на оператора в целом. "Относительно небольшая атака на одного–двух абонентов длится 1–4 часа. Если же атакуют предметно оператора, то локализация может занимать больше времени, мой личный опыт ― 2 дня", ― рассказал Бутырин.
В свою очередь, заместитель гендиректора Staffcop ("Атом безопасность" входит в ГК "СКБ Контур") Юрий Драченин обращает внимание, что пока провайдеры заняты отражением, инфраструктура и клиенты работают неполноценно, приостанавливается экономика.
Самая долгая атака на провайдера, по данным Kaspersky DDoS Protection, продолжалась 95 дней. В текущих реалиях длительность атаки от 24 до 48 часов скорее стандартна.
Смена тактики
Помимо операторов связи, по словам экспертов, основными целями DDoS–атак являются госструктуры и финансовый сектор. По данным МТС RED, в первом полугодии 2024 года сфера IT вышла в лидеры по числу направленных на неё DDoS–атак — 36,3% от общего числа. По итогам второго полугодия 2023 года эта отрасль была лишь на третьем месте, уступая банкам и промышленности.
"МегаФон" за первые 7 месяцев 2024 года зарегистрировал свыше 2400 DDoS–атак, что на 12% больше аналогичного периода прошлого года. Больше всего хакеров интересовали телеком–сектор и интернет–провайдеры: доля атак на них возросла в 10 раз. Рекордная по объёму трафика атака составила 710 Gbps, что эквивалентно одновременной трансляции по сети 150 тыс. фильмов в Full HD (1080p) качестве. Хакеры корректируют схемы своей работы: ранее атаки совершались по 10–30 дней подряд, но короткими сессиями около 20 минут. Затем появилась тенденция вести параллельно несколько атак на одного клиента.
"Сейчас мы всё чаще регистрируем длительные и беспрерывные атаки. В этом году одна составила 9 дней. Но большинство всё же длятся менее часа ― это 77%. Активная фаза атак начинается в 10 часов по московскому времени, с 18 до 19 часов их количество снижается, а пик приходится на 20–22 часа. После полуночи активность сокращается в 3–4 раза. Самым популярным днём для атак стал понедельник", ― поделились в пресс–службе "МегаФона".
По данным облачной киберзащиты Solar Space ГК "Солар" (дочерней компании "Ростелекома"), максимальная мощность одной атаки в первом полугодии 2024 года выросла почти в 7 раз в сравнении с аналогичным периодом прошлого года, до 1,2 Тбит / с. Максимальная продолжительность DDoS–атаки с начала года составила 35 дней.
Защищают как могут
По мнению экспертов, компании стали более эффективно бороться с DDoS–атаками. Особенно крупные провайдеры и владельцы критической инфраструктуры.
"Для грамотного отражения нужен комплексный подход: стратегия реагирования, план действий при реализации риска атаки, ресурсы на отражение, соответствующее ПО и оборудование, создание резервных каналов. Сотрудничество и кооперация с другими компаниями тоже играют важную роль, то же касается обучения персонала, повышения киберграмотности сотрудников", ― говорит Юрий Драченин.
В Kaspersky считают необходимым для компаний организацию эшелонной защиты. Один из основных методов подразумевает фильтрацию нелегитимного трафика. Например, часть атаки может фильтроваться в облачных мощностях вендоров, предоставляющих организации защиту от DDoS, а часть ― внутри инфраструктуры самого провайдера. Также существуют решения, которые позволяют анализировать трафик без перенаправления на фильтрующие мощности.