Компания StormWall, которая создает средства защиты от DDoS-атак, обнаружила серию сложных и мощных распределенных атак, нацеленных на российские предприятия из разных секторов. Как считают эксперты StormWall, текущая волна указывает на тревожное изменение тактик, целей и технических методов, что говорит об участии высококвалифицированных, вероятно, наемных злоумышленников, а не случайных хакерских группировок.
С 20 по 23 июня специалисты StormWall заметили новый устойчивый шаблон атак, который объединяет мощные UDP-флуды с имитацией на прикладном уровне. В одном случае провайдер успешно отразил атаку на компанию, пик которой достиг 2,56 Тбит/с при интенсивности 1 миллиард пакетов в секунду (1 Gpps). Хотя основным вектором был объемный UDP-флуд, указывающий на доступ к огромному глобальному ботнету, атака не сводилась лишь к грубому переполнению канала.
Аналитики StormWall выявили несколько ключевых характеристик необычных атак, которые привлекли внимание рынка. Прежде всего, это профессиональный подход. Злоумышленники ведут себя как наемные команды: они изучают протоколы, адаптируются к защитным системам в реальном времени и быстро меняют тактику при столкновении с препятствиями. Другая отличительная черта — адаптивность и персонализация. Атакующие могут изменять длину пакетов «на ходу», варьируя размеры для поиска уязвимостей в сетевом оборудовании жертвы. После того как StormWall заблокировал их мониторинговые проверки, злоумышленники перестроили тактику и перестали реагировать на блокировки, продолжая атаки.
Кроме того, важной особенностью этих атак является имитация легитимного трафика. Помимо грубого UDP-флуда, атакующие успешно воспроизводят полноценные TCP-соединения, маскируясь под реальных пользователей и браузеры. Были зафиксированы случаи эмуляции UDP-трафика на уровне до 6-10 Гбит/с, что говорит о попытках обойти поведенческие фильтры и системы глубокого анализа. Наконец, еще одна значительная характеристика — экстремальная нагрузка. Пиковое значение в 2,56 Тбит/с подтверждает, что у злоумышленников есть доступ к сверхмощным ботнетам или технологиям усиления (амплификации), способным вывести из строя большинство операторов связи и дата-центров.
Особое беспокойство у экспертов StormWall вызывает тактическая аномалия в ходе атак. Злоумышленники не выдвигали требований о выкупе. В данном случае атаки носят хаотичный характер — под удар попадают игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети множества других компаний.
«Мы стали свидетелями намеренной проверки инфраструктуры на прочность. Отсутствие запросов на выкуп и разрозненность атакуемых целей указывают на то, что это не обычное вымогательство или целенаправленные действия хактивистов, а скорее «тест-драйв» нового поколения ботнета или свежих DDoS-инструментов перед масштабной атакой. Противник адаптируется к нашим контрмерам: после блокировки их систем мониторинга они сменили тактику, расширили географию и продолжают оттачивать имитацию», – подчеркнул Рамиль Хантимиров, генеральный директор и сооснователь StormWall.
Согласно информации StormWall, раньше основные источники атак располагались главным образом в Бразилии и Индии. В ходе нынешней волны нестандартных DDoS-атак география источников заметно увеличилась. В число стран-источников атак вошли Россия, Бразилия, США, Ирак, Азербайджан, Индия, Германия, Мексика, Нидерланды, Казахстан и другие государства. Это свидетельствует о распределённой природе ботнета, который охватывает все континенты. Специалисты полагают, что ботнет может включать разнотипные устройства — от IoT-камер до серверов и провайдерских маршрутизаторов.
Аналитики StormWall предостерегают российские компании: нынешние атаки — это лишь верхушка айсберга. Главная угроза состоит в том, что, «наигравшись» с имитацией трафика, злоумышленники могут довести её до совершенства, сделав атаки неотличимыми от реального пользовательского трафика.
«Мы советуем компаниям обращаться к провайдерам специализированных решений, чтобы гарантировать надёжную защиту своих ресурсов от любых современных DDoS-атак. Со своей стороны мы продолжаем отслеживать эволюцию нового ботнета и будем оповещать деловое сообщество о всех новых изменениях, связанных с ним», – заявил Рамиль Хантимиров, генеральный директор и сооснователь StormWall.