Хакеры меняют стратегию

Киберпреступники, профессионально занимающиеся DDoS-атаками, все реже используют огромные бот-сети из зараженных компьютеров для проведения атак, предпочитая более эффективные и простые в управлении веб-серверы. Эксперты по информационной безопасности из "Лаборатории Касперского" и компании Highload Lab рассказали о том, почему это происходит, а также о некоторых других изменениях, произошедших в сфере DDoS-атак и борьбы с ними за последние годы.

Эксперты по информационной безопасности из "Лаборатории Касперского" и компании Highload Lab рассказали о том, почему это происходит, а также о некоторых других изменениях, произошедших в сфере DDoS-атак и борьбы с ними за последние годы. 

По данным экспертов из американской компании Prolexic Technologies, занимающейся отражением вредоносных атак, в четвертом квартале 2012 года общее количество DDoS-атак выросло на 19% по сравнению с тем же периодом предыдущего года и на 27,5% по отношению к третьему кварталу. Средняя мощность атак за год выросла на 13% - с 5,2 до 5,9 Гбит.

Российские эксперты в области борьбы с DDoS-атаками согласны с западными коллегами: количество таких инцидентов растет, и они становятся более изощренными. Руководитель проекта Kaspersky DDoS Prevention "Лаборатории Касперского" Алексей Афанасьев и генеральный директор компании Highload Lab (защита от DDoS-атак) Александр Лямин, рассказали, как атаки на "отказ в обслуживании" эволюционируют, кто является главными мишениями и чего ждать от данной угрозы в будущем.

Серверы вместо обычных ПК

До недавнего времени для проведения мощных DDoS-атак киберпреступники использовали в основном крупные бот-сети (сети из зараженных компьютеров). Чем больше компьютеров заражено, тем более мощную атаку можно организовать — таким был основной мотив для строительства многомиллионной бот-сети. Однако поддерживать работоспособность достаточно крупной для мощных атак бот-сети - тяжелая задача, ведь злоумышленникам постоянно необходимо следить за тем, чтобы в онлайн-доступе было нужное количество зараженных компьютеров.

Это, в свою очередь, означает, что потребуются постоянные траты на покупку новых "загрузок", то есть новых зараженных компьютеров взамен тех, что по каким-либо причинам выпали из бот-сети. В условиях постоянного роста числа компьютеров, на которых установлены коммерческие антивирусные продукты, эта задача становится все более хлопотной. В ответ на эту тенденцию хакеры ищут новые инструменты для атак, отмечает Алексей Афанасьев.

"Если дорого и некомфортно иметь гигантский ботнет, его постоянно пополнять и поддерживать, то злоумышленник ищет более простые способы расположить источники своего нападения. Все чаще это выделенные серверы", - сказал эксперт.

По словам Афанасьева, рост числа программного обеспечения для виртуализации серверов (создания виртуальной копии реального компьютера или сервера) и относительная простота его использования привели к появлению большого числа плохо сконфигурированных серверов, а также серверов, содержащих незакрытые уязвимости. Злоумышленники находят такие серверы, встраивают в них средства для осуществления DDoS-атак, и просто ждут "заказа".

"Принципы организации таких атак изменились. Вместо сотен тысяч рабочих станций - несколько серверов. Они производительнее, их быстрее и проще активировать", - отметил эксперт.

С Афанасьевым согласен Александр Лямин, генеральный директор компании Highload Lab, занимающейся защитой от DDoS-атак. Он добавил, что распространение практики использования серверов в качестве источника вредоносного трафика связано с появлением новых инструментов анонимизации, которые ранее не были доступны.

"Действительно, серверы используют все чаще, в том числе потому, что появился инструментарий, позволяющий генерировать пакеты с поддельными IP-адресами на высоких скоростях", - рассказал Лямин.

Теоретически отразить DDoS-атаку можно, имея информацию об источниках вредоносного трафика - то есть, IP-адресах, с которых к атакуемому сайту идет паразитный трафик. Однако использование инструментария для анонимизации затрудняет выявление таких источников и - как следствие - устранение самой атаки.

При этом даже при наличии информации об источниках вредоносного трафика, далеко не всегда удается отключить серверы, с которых он идет, отмечает Алексей Афанасьев. Злоумышленники территориально распределяют инфраструктуру для осуществления атак так, чтобы их было максимально трудно прекратить через обращение к провайдеру или дата-центру, в котором расположен атакующий сервер.

"Наши партнеры рассказывали нам об атаке, в которой серверы управления бот-сетью находились в одной из стран Центральной Азии, сами серверы, с которых велись атаки - в Турции и Европе, а цели атак - в США. Быстро закрыть такую бот-сеть или центр управления через прямое обращение к правоохранительным органам невозможно, поскольку злоумышленники выбрали страны, руководство которых крайне неохотно взаимодействует друг с другом. При этом преступники, как известно, границ не имеют", - рассказал Афанасьев.

Высокие сезоны

Как и прежде, больше всего атак происходит в периоды наибольшей бизнес-активности - в "высокие" сезоны в сфере торговли товарами и услугами. В году таких сезона два - с конца осени и до новогодних праздников, а также примерно с середины весны и до начала лета, в сезон отпусков. В предновогодний сезон под атаками оказываются интернет-магазины и сайты, предоставляющие востребованные в это время года услуги (замена и продажа зимней резины для автомобилей, например); в весенне-летний сезон хакеры переключают внимание на сайты туристических агентств, сервисов по продаже билетов, бронированию гостиниц и интернет-магазины с товарами, которые актуальны в этот период. Чаще всего причиной атак становится недобросовестная конкуренция.

Бывают, впрочем, и сферы бизнеса, которые находятся под угрозой DDoS круглый год.