Специалисты обнаружили атакующий IT‑провайдеров опасный ботнет

В октябре эксперты StormWall зафиксировали мощные DDoS-атаки на российских хостинг-провайдеров, которые были организованы с помощью нового ботнета. Максимальная мощность атак достигала 1,5 Тбит/с, а количество взломанных устройств, использованных для нападения, превышало 100 000. Эксперты указывают, что хакеры наращивают натиск и силу атак, и объясняют выбор целей для нападений тем, что злоумышленники таким образом могут дотянуться сразу до множества веб-ресурсов и сервисов

«Невероятно мощные атаки»

Обнаружен новый опасный ботнет, который запускает мощнейшие DDoS-атаки на российских хостинг-провайдеров, рассказали Forbes в компании StormWall, поставляющей услуги информационной безопасности. По данным аналитиков, максимальная мощность атак достигала одного из самых значительных из зафиксированных в этом году показателей 1,5 Тбит/с, ботнет состоял из различных взломанных устройств, и их количество превышало 100 000. В основном в ботнет входили маршрутизаторы ASUS.

Объектами для атак выступили пять российских хостинг-провайдеров, сообщили в StormWall, не став, впрочем, раскрывать их названия. В основном атаки шли с IP-адресов в таких странах, как США (большинство атак — 62%), Китай, Гонконг, Сингапур, Румыния и Украина. Нападения с российских IP-адресов составили 9% от общего количества. Всего было выявлено более 100 000 уникальных IP-адресов ботнета.

В последнее время хакеры постоянно используют ботнеты для запуска DDoS-атак на российские компании, говорит CEO и сооснователь StormWall Рамиль Хантимиров, однако новый ботнет позволяет организовать «невероятно мощные атаки». «Это серьезная угроза для любой организации. Защититься от таких атак самостоятельно практически невозможно, и справиться можно только с помощью облачных сервисов, которые обладают достаточной емкостью сети фильтрации», — рассуждает он.

С растущей силой

В целом DDoS-атаки по своей мощности растут, констатируют эксперты. О новых рекордах регулярно отчитываются как отечественные, так и зарубежные игроки. Так, в июле, прямо перед волной атак на российские банки, «Ростелеком» заявлял об успешно отбитой атаке в 3 Тбит/с, а совсем недавно, в октябре, американская Cloudflare (предоставляет услуги доставки контента, защиты от DDoS-атак, безопасный доступ к ресурсам) также рапортовала об отражении рекордной DDoS-атаки мощностью 3,8 Тбит/с.

«Подтверждаем значительный прирост, — говорит главный инженер направления защиты сети DDoS-Guard Дмитрий Шмидт. — На прошлой неделе одна из «жемчужин», которую мы успешно отразили, достигла почти 2,5 Тбит/c. «Интернет вещей» развивается, интернет-инфраструктура по всему миру растет, соответственно растет и количество потенциальных участников ботнетов».

Почему хостеры стали мишенью

«Это потенциально серьезная точка отказа», — объясняет Дмитрий Шмидт. Если у хостера достаточно распределенная инфраструктура, добиться его полной недоступности — «задача со звездочкой» (и почти невыполнимая, если используется профессиональная защита), продолжает он: «Но если допустить гипотетически, что атака вызвала перебои в работе, негативное влияние ощутят многие клиенты этого хостера. Может случиться и так, что хостер сам отключит атакуемый ресурс — это все зависит от его собственной политики. К счастью, такие радикальные сценарии встречаются нечасто, поскольку приличные хостеры по большей части уже используют защиту от DDoS».

Хакеры атакуют хостеров, чтобы вывести из строя и сделать недоступными множество интернет-серверов, подтверждает руководитель направлений WAF и Anti-DDoS ГК «Солар» Алексей Пашков. Большая мощность, по его словам, важна именно для атак на хостеров, так как у них большие каналы связи до дата-центров. Это и отличает подобные атаки от DDoS-атак на B2B-клиентов, например, в банковской сфере, когда хакеры атакуют наиболее важные интернет-сервисы с помощью коротких ударов небольшой мощности, а также быстро меняют векторы атак и цели, перемещая атаку от одного критичного сервиса до другого.

Атаки хостинг-провайдеров подтверждают тенденцию, о которой ранее в октябре говорили в МТС RED: по данным компании, в июле-сентябре 2024 года значительно выросло количество DDoS-атак на организации IT-сферы, которые стали главной целью злоумышленников. За отчетный период МТС RED отразила «кратно больше» DDoS-атак на веб-ресурсы компаний этих отраслей, чем за аналогичный период 2023 года. Всего же за III квартал 2024-го провайдер кибербезопасности зафиксировал свыше 21 400 атак — почти в 10 раз больше, чем за июль-сентябрь 2023 года.

Видя, что натиск хакеров, организующих нападения на ресурсы российских организаций, продолжает расти, отдельные игроки призывают организовать информационный обмен между участниками рынка.

В первую очередь, по мнению Данилы Чежина, необходимо наладить информационный обмен об атаках в режиме реального времени между защитниками от DDoS-атак, телеком-провайдерами (которые также оказывают услуги по защите от DDoS, но порой сами становятся жертвами ковровых атак), представителями бизнеса и, возможно, регуляторами. «Своевременно полученная информация о деталях атаки во время инцидента (а не постфактум) позволит своевременно выработать меры по защите других бизнесов, которые могут стать целями злоумышленников и тем самым снизить вероятность успеха последующих атак. От подобного обмена, уверен, снизится количество результативных атак и в итоге вырастет защищенность бизнеса», — заключает Чежин.

Источник: https://www.forbes.ru/tekhnologii/523253-nezvanye-v-hosting-specialisty-obnaruzili-atakuusij-it-provajderov-opasnyj-botnet

Изображение: Freepik