Психология атакующего: о чем надо помнить, защищаясь от DDoS-атак

9 августа 2022

Хотя DDoS-атаки проводятся в основном с использованием ботов, инициаторами и координаторами атак выступают люди. От их мотивации и поведенческих установок во многом зависят характер атак, их интенсивность и продолжительность.

Общие поведенческие черты

По нашим наблюдениям, злоумышленники, запускающие DDoS-атаки, практически всегда хотят убедиться в том, что их усилия оказались успешными и доступность ресурсов, на которые они нацелились, на какое-то время существенно снизилась. Дальнейшая реакция может быть различной: поняв, что DDoS-удар был успешен, многие злоумышленники испытывают эйфорию, в то время как другие, более профессиональные хакеры просто отчитываются перед заказчиками о проведенной атаке и переходят к следующей.

Владельцы атакованных ресурсов и те, кто обеспечивает их DDoS-защиту, сражаются «по другую сторону баррикад», поэтому в их интересах – сделать так, чтобы атакующий не смог понять, насколько успешной оказалась атака. Не нужно давать нашим противникам поводов торжествовать и чувствовать себя победителями. Даже если какие-то ваши ресурсы или их компоненты на какое-то время стали недоступными, злоумышленники не должны это видеть. Очевидно, что не всегда это удается сделать, но иногда можно. По крайней мере, надо попытаться скрыть от злоумышленников информацию, которая позволит им понять, что атака была успешной.

Если злоумышленник не смог оценить успех атаки или решил, что она не удалась, то дальше он, скорее всего, попытается повторить свое DDoS-воздействие на ваши ресурсы, например, выбирая наиболее уязвимые их компоненты. Если злоумышленник слабо мотивирован или если ваши ресурсы – далеко не единственная цель его атак в данный момент, то, скорее всего, он оставит вас в покое, по крайней мере, на какое-то время.

psychology-of-an-attacker.jpg

Мотивация атакующих

Спрогнозировать дальнейшие действия злоумышленника гораздо проще, если правильно оценить его мотивацию. В нашей практике мы регулярно сталкиваемся со следующими видами мотивации злоумышленников, применяющих DDoS-атаки.

  1. Желание развлечься, самоутвердиться, свести счеты или просто похулиганить. Обычно эти мотивы движут молодыми дарованиями, которые хотят испытать свои силы в хакерском ремесле, что-то доказать себе или своим друзьям либо навредить по-мелкому, сделав недоступным, например, сайт своей школы или игровой сервис, с которым не сложились отношения. В подобных случаях DDoS-атаки проводятся, как правило, с использованием простых, дешевых, но достаточно эффективных инструментов. Отражать такие атаки относительно несложно – если, конечно, ваши ресурсы находятся под профессиональной защитой.
  2. Отстаивание или навязывание каких-либо идей – политических, социальных, экологических, культурных и пр. Злоумышленники, атакующие «за идею», как правило, стремятся навредить не согласным с ними либо добиваются широкого общественного резонанса. Атаки этих злоумышленников отнюдь не стоит недооценивать – в этом легко убедиться, вспомнив, например, насколько мощными и продолжительными оказались DDoS-удары в отношении российских интернет-ресурсов, начатые с конца февраля 2022 года политически мотивированными хактивистами. Судя по их переписке в соцсетях, они приходили в дикий восторг, когда им удавалось создать шум и получить свою «минуту славы» в российских, а тем более в мировых СМИ.
  3. Нанесение вреда конкурентам – до недавнего времени эта мотивация злоумышленников была, пожалуй, наиболее распространенной в нашей практике: пытаясь получить хотя бы какое-то преимущество в конкурентной гонке, некоторые недобросовестные игроки рынка инициировали атаки на своих конкурентов, чтобы нанести им ущерб и вынудить их клиентов перейти на другие сайты. Особенно сильными и болезненными такие атаки бывают в периоды сезонных всплесков посещаемости, например, во время предпраздничных распродаж. DDoS-воздействия такого рода нередко оказываются очень мощными, а потому для их отражения требуется не только подключение профессиональных сервисов Anti-DDoS, но и тщательная проработка целого комплекса мер по обеспечению устойчивости интернет-ресурсов к DDoS-ударам, поскольку если заказ на атаку хорошо оплачен, хакер-исполнитель постарается приложить максимум усилий, чтобы его выполнить.
  4. Вымогательство и шантаж тоже нередко нами встречались в предыдущие годы. Злоумышленники, движимые этой мотивацией, не просто атакуют, но предъявляют жертве свои требования – как правило, называют сумму отступных в криптовалюте, получив которую, обещают прекратить «кошмарить» жертву. И хотя злоумышленники-вымогатели обычно не предпринимают сверхмощных атак, тем не менее, они нередко проявляют завидное упорство в достижении своих целей: даже если владельцы атакуемых ресурсов подключают защиту, вымогатели пытаются найти в них уязвимости, чтобы нанести новые DDoS-удары. Кроме того, они могут предпринять сложные многовекторные атаки, в которых DDoS-воздействие будет использоваться в качестве отвлекающего удара, например, чтобы получить доступ к конфиденциальным данным жертвы и затем ее шантажировать, обещая в случае отказа платить выкуп «слить» данные в Сеть или их уничтожить.
  5. Кибертерроризм – наиболее редкие и трудные для распознавания ситуации, за которыми могут стоять самые разные мотивы: масштабная месть, экономический шпионаж, нанесение ударов в ходе кибервойн и пр. Как правило, такие злоумышленники не ограничиваются одними только DDoS-атаками и используют их, чтобы замаскировать взлом. Его цели могут простираться в широком диапазоне – от публикации ложных сообщений и кражи конфиденциальных данных до искажения данных, получения контроля над системами жертвы, изменения их бизнес-логики, внедрения вредоносных кодов и пр., вплоть до полного разрушения данных и систем – мгновенного или отложенного на какое-то время.

Что делать и к чему готовиться?

Поскольку мотивация злоумышленника при начале DDoS-атаки далеко не всегда понятна, рекомендуем внимательно изучать и анализировать ход каждой атаки и оценивать возможные ее последствия. Также предлагаем и некоторые другие наши рекомендации.

  • Как мы уже отметили, надо попытаться максимально скрыть от злоумышленника результаты атаки – для этого надо заблаговременно позаботиться об обеспечении защищаемости ваших интернет-ресурсов.
  • Надо быть готовыми к тому, что наряду с DDoS-атакой может быть предпринята попытка взлома интернет-ресурсов и проникновения в информационные системы организации. Собственно отражение атаки разумно возложить на провайдера Anti-DDoS, а самим сосредоточиться на мониторинге событий безопасности, чтобы своевременно выявить попытку взлома, если она будет предпринята.
  • Также надо быть готовыми к тому, что DDoS-атака может быть длительной и продолжаться до нескольких дней и даже недель. Поэтому необходимо убедиться в устойчивости ваших ресурсов к DDoS-воздействиям и их способности сохранять доступность и работоспособность в течение достаточно долгого времени.
  • Нельзя исключать, что за успешно отраженной DDoS-атакой последуют новые. Если злоумышленник сильно мотивирован на то, чтобы вывести ваши ресурсы из строя, он предпримет новые попытки атаковать вас, например, нащупав наиболее слабые и незащищенные компоненты ваших интернет-систем. Поэтому по возможности будьте во всеоружии и не расслабляйтесь после того, как атака стихла.
Мы используем cookie, чтобы сделать сайт быстрее и удобнее. Продолжая пользоваться сайтом, Вы соглашаетесь с нашей Политикой конфиденциальности
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
© 2013- 2022 StormWall.pro. All rights reserved Privacy Policy