27 декабря 2021
В первой половине декабря специалисты компании StormWall зафиксировали шквал DDoS-атак мощностью более 1 Тбит/с, длящихся в течение нескольких суток. В основном, хакеры атаковали компании развлекательного сектора, онлайн-ритейл, издательские дома и финтех-сферу, особенно криптосервисы. Атаки осуществлялись злоумышленниками с помощью нового ботнета, который состоит из нескольких десятков тысяч серверов с разными версиями операционных систем, а также вебкамер, роутеров,умных телевизиров и других умных устройств.
Поскольку в ботнет входят разные устройства на базе различных операционных систем с различным установленным ПО, можно сделать вывод, что они были заражены разными способами, например перебор пароля или эксплуатация уязвимости. Каждая новая атака имеет примерно одинаковую мощность, но при этом разную географическую распределенность, что указывает на то, что в данном случае используется не один ботнет, а несколько разношерстных ботнетов, объединенных в единую систему управления, доступ к которой предоставляется злоумышленниками.
Ресурсы ботнета делятся между несколькими пользователями, которые могут запускать DDoS-атаки одновременно. Для запуска атаки каждый злоумышленник использует не весь ботнет, а его часть, но даже его часть позволяет организовать атаку мощностью в несколько сотен Гбит/с. Поскольку каждый хакер имеет доступ только к одной части ботнета, то у других злоумышленников есть возможность в тот же самый момент использовать оставшуюся мощность, поэтому атакующие могут запускать продолжительные атаки.
Ботнет работает без подмены IP-адреса (спуфинга), поскольку для запуска атак используются дата-центры и интернет-провайдеры, которые запрещают подмену IP-адреса. По данным экспертов, около 50% вредоносного трафика идет из Японии, 30% из США и 20% из других стран.
В этих атаках нет ничего уникального, их достаточно легко фильтровать при наличии мощностей, поскольку ботнет работает без подмены IP-адреса. Однако, большинству жертв, в том числе операторам связи, этих мощностей не хватает. Расширить эти мощности сейчас не так просто, поскольку сроки поставок оборудования составляют от нескольких месяцев до года.
Отразить такие атаки можно, используя геораспределенную сеть защиты и фильтруя их ближе к тем регионам, откуда они были запущены. Чтобы создать эффективную систему защиты от таких атак, необходимо иметь огромные канальные емкости, а также большие мощности в части сетевого и вычислительного оборудования. Однако, ситуация осложняется тем, что в настоящее время существует дефицит сетевых карт и процессоров, и поставки необходимого оборудования растягиваются на многие месяцы. Для того, чтобы эффективно защитить онлайн-ресурсы от разрушительных атак, лучше использовать профессиональные решения, которые предлагают компании, специализирующиеся на защите от DDoS-атак. Внедрение профессиональных решений позволит избежать серьезных экономических убытков.