Причины DDoS-атак и психология злоумышленника: что учесть в защите

DDoS-атаки проводятся в основном с использованием ботов. Но инициаторами и координаторами атак выступают люди. От их мотивации и поведенческих установок во многом зависят характер атак, их интенсивность и продолжительность.

Общие поведенческие черты атакующих

По нашим наблюдениям, злоумышленники практически всегда хотят убедиться в том, что их DDoS-атаки оказались успешными, и доступность ресурсов жертвы на какое-то время существенно снизилась. Дальнейшая реакция при успехе может быть разной: многие злоумышленники испытывают эйфорию, в то время как другие, более профессиональные хакеры буднично отчитываются перед заказчиками о проведенной атаке и переходят к следующей.

Владельцы атакованных ресурсов и те, кто обеспечивает их DDoS-защиту, сражаются «по разные стороны баррикад». В интересах вторых — сделать так, чтобы атакующий не смог понять, насколько успешной оказалась атака. Не нужно давать противникам поводов торжествовать и чувствовать себя победителями. Даже если какие-то ваши ресурсы или их компоненты стали временно недоступными, злоумышленники не должны это видеть. Очевидно, что не всегда это удается сделать. По крайней мере, надо попытаться скрыть от злоумышленников информацию, которая позволит им понять, что атака была успешной.

Допустим, злоумышленник не смог оценить успех атаки или решил, что она не удалась совсем. Далее он, скорее всего, попытается повторить свои действия, но уже с другим подходом. Например, атакующий может выбрать наиболее уязвимые компоненты инфраструктуры жертвы. Если злоумышленник слабо мотивирован или в данный момент также нацелен на другие ресурсы, то, вероятно, он оставит вас в покое. По крайней мере, на какое-то время.

Причины DDoS-атак

Спрогнозировать дальнейшие действия злоумышленника гораздо проще, если правильно оценить его мотивацию. В нашей практике мы регулярно сталкиваемся со следующими причинами DDoS-атак:

• желание развлечься, самоутвердиться, свести счеты или просто похулиганить. Обычно эти мотивы движут молодыми дарованиями, которые хотят испытать свои силы в хакерском ремесле, что-то доказать себе или своим друзьям. Такие злоумышленники могут навредить по-мелкому, сделав недоступным, например сайт своей школы или игровой сервис, с которым не сложились отношения. В подобных случаях DDoS-атаки проводятся, как правило, с использованием простых, дешёвых, но достаточно эффективных инструментов. Отражать такие атаки относительно несложно — если, конечно, ваши ресурсы находятся под профессиональной защитой;
• отстаивание или навязывание каких-либо идей: политических, социальных, экологических, культурных и пр. Атакующие «за идею» стремятся навредить тем, кто с ними не согласен, либо добиваются широкого общественного резонанса. Таких злоумышленников отнюдь не стоит недооценивать. Достаточно вспомнить, например, насколько мощными и продолжительными оказались DDoS-удары на российские интернет-ресурсы, которые с февраля 2022 года находятся под прицелом политически мотивированных хактивистов. Судя по их перепискам в соцсетях, такие злоумышленники приходят в дикий восторг, когда им удаётся создать шум и получить свою «минуту славы» в российских и особенно в мировых СМИ;
• нанесение вреда конкурентам. До недавнего времени такая причина DDoS-атак была, пожалуй, наиболее распространённой в нашей практике: пытаясь получить хотя бы какое-то преимущество в конкурентной гонке, некоторые недобросовестные игроки рынка инициировали атаки на своих конкурентов. Таким образом им удавалось нанести ущерб соперникам и вынудить их клиентов перейти на другие сайты. Особенно сильными и болезненными такие атаки бывают в периоды сезонных всплесков посещаемости, например во время предпраздничных распродаж. DDoS-воздействия такого рода нередко оказываются очень мощными, а потому для их отражения требуется не только подключение профессиональных сервисов anti-DDoS, но и тщательная проработка целого комплекса мер по обеспечению устойчивости интернет-ресурсов к DDoS-ударам. Если заказ на атаку хорошо оплачен, хакер-исполнитель постарается приложить максимум усилий, чтобы его выполнить;
• вымогательство и шантаж тоже часто встречались нам в предыдущие годы. Злоумышленники с такой мотивацией не просто атакуют, а предъявляют жертве свои требования. Как правило, они называют сумму отступных в криптовалюте, после получения которой обещают прекратить «кошмарить» жертву. И хотя злоумышленники–вымогатели обычно не предпринимают сверхмощных атак, тем не менее, они нередко проявляют завидное упорство в достижении своих целей. Даже если владельцы атакуемых ресурсов подключают защиту, вымогатели пытаются найти в них уязвимости, чтобы нанести новые DDoS-удары. Кроме того, они могут предпринять сложные многовекторные атаки, в которых DDoS-воздействие будет использоваться в качестве отвлекающего манёвра. Например, такая тактика позволяет получить доступ к конфиденциальным данным жертвы и затем её шантажировать, обещая «слить» данные в Сеть или их уничтожить;
• кибертерроризм — наиболее редкие и трудные для распознавания ситуации, за которыми могут стоять самые разные причины. В их числе: масштабная месть, экономический шпионаж, нанесение ударов в ходе кибервойн и пр. Как правило, такие злоумышленники не ограничиваются одними только DDoS-атаками и используют их, чтобы замаскировать взлом. Его цели могут простираться в широком диапазоне: от публикации ложных сообщений и кражи конфиденциальных данных до искажения данных, а также получения контроля над системами жертвы, изменения их бизнес-логики, внедрения вредоносных кодов и прочих проблем. Иногда, атаки могут завершаться полным разрушением данных и систем — мгновенным или отложенным на какое-то время.

Что делать и к чему готовиться?

Поскольку мотивация злоумышленника и причины DDoS-атаки далеко не всегда понятны на старте атаки, советуем внимательно изучать и анализировать ход каждого инцидента и оценивать возможные его последствия. Также предлагаем учесть наши другие рекомендации.

• Как мы уже отметили, надо попытаться максимально скрыть от злоумышленника результаты атаки. Для этого надо заблаговременно позаботиться о защищаемости ваших интернет-ресурсов.
• Надо подготовиться к тому, что наряду с DDoS-атакой злоумышленники могут предпринять попытку взлома интернет-ресурсов и проникновения в информационные системы организации. Отражение атаки разумно возложить на провайдера DDoS-защиты, а со своей стороны сосредоточиться на мониторинге событий безопасности, чтобы своевременно выявить попытку взлома, если она будет предпринята.
• Также нужно учитывать, что DDoS-атака может быть длительной и продолжаться несколько дней и даже недель. Поэтому необходимо убедиться в устойчивости ваших ресурсов к DDoS-воздействиям, а также их способности сохранять доступность и работоспособность в течение долгого времени.
• Нельзя исключать, что за успешно отраженной DDoS-атакой последуют новые. Если злоумышленник сильно мотивирован на то, чтобы вывести ваши ресурсы из строя, он продолжит попытки. Поэтому по возможности будьте во всеоружии и не расслабляйтесь после того, как атака стихла.

Узнайте подробнее в нашем блоге, что такое DDoS-атака и как от неё защититься.

Какими бы ни были причины DDoS-атак, личная мотивация злоумышленника всегда остаётся сомнительной. Причинять вред другим, пусть даже за большие деньги, — противоестественное поведение человека. К счастью, это карается законодательством и атакующий сам рискует стать жертвой своих же действий.