Smokescreen DDoS. Что происходит за дымовой завесой атак 

В последние годы DDoS-атаки — это не только способ «положить» сайт на пару часов. Злоумышленники всё чаще используют их как ширму, за которой скрываются не менее серьёзные преступления: кража данных, взломы систем, финансовые махинации и т.д. Как именно работают такие DDoS-атаки, рассказываем в этой статье.

Как работает Smokescreen DDoS

Любая DDoS-атака начинается с внезапного роста трафика, который перегружает веб-сервер или сетевую инфраструктуру компании. В этот момент ИТ-команда бросает все силы на устранение проблемы: ищет источник вредоносных запросов, блокирует IP-адреса, пытается связаться с antiDDoS-провайдером и восстановить доступ к сайту.

В этой суете, которая чаще возникает в небольших компаниях, злоумышленники запускают параллельные атаки. Логика злоумышленников проста: пока специалисты заняты инцидентом с DDoS, им сложнее отследить другие угрозы.

Чего на самом деле хотят атакующие

Цели злоумышленников, использующих DDoS как прикрытие, могут быть разными, но почти всегда они сводятся к одному — максимальной выгоде при минимальном риске быть замеченным. 

Вот наиболее популярные киберпреступления, которые проходят за дымовой завесой DDoS:

• доступ к персональным данным клиентов — именам, адресам, логинам, паролям, платёжной информации и т.д. Всё это злоумышленники могут использовать в своих целях, в том числе для продажи, шантажа, мошеннических и фишинговых схем;
• установка бэкдоров и шпионского ПО — особенно актуальная угроза при DDoS-атаках на государственные и политические структуры, где интерес представляют доступы и информация, а не деньги;
• финансовые махинации — например, хакеры могут внедрить вредоносное ПО, а затем с его помощью получить доступ к бухгалтерским компании. Иногда такие инциденты заканчиваются фальсификацией платёжных поручений;
• взлом корпоративных аккаунтов и облачных сервисов — хакеры стремятся получить доступ к почтовой переписке, конфиденциальным документам, завладеть данными для подключения к другим системам жертвы;
• расчистка пространства для фишинга — когда DDoS-атака парализует работу популярного сайта или сервиса, пользователи начинают использовать фейковые страницы для входа или смены пароля. 

Также злоумышленники могут проводить DDoS-атаки только ради того, чтобы испортить репутацию конкретной компании. Любой такой инцидент — это удар по доверию клиентов, акционеров и партнёров. 

Подробнее: Причины DDoS-атак и психология атакующего.

Примеры smokescreen DDoS из мировой практики 

В 2024 году некоммерческий веб-проект Internet Archive столкнулся с серией DDoS-атак. Сначала злоумышленникам удалось вывести из строя часть инфраструктуры жертвы, а вскоре после этого они взломали базу данных. В сеть утекли данные более 31 млн пользователей. Таким образом, по мнению аналитиков SOCRadar, DDoS-атаки в этом случае были отвлекающим манёвром, который позволил хакерам добиться изначальной цели. 

За 10 лет до этого инцидента, в июне 2014 года, в подобной ситуации оказалась компания Code Spaces. Хакеры отвлекли команду безопасности с помощью DDoS-атаки. В то же время они получили доступ к панели управления AWS. В результате были удалены важные данные, включая резервные копии и конфигурации кода. Это стало концом для бизнеса — компания не смогла восстановить потери и репутацию. Эксперт Neustar, который описал этот инцидент в своей статье, отметил: «Когда вы имеете дело с DDoS-атакой, все силы бросаются на неё. Другие угрозы остаются незамеченными».

В том же 2014 году произошёл случай с Occupy Central в Гонконге. Сайты этого движения подверглись DDoS-атаке, мощность которой в пике достигла 500 Гбит/с. По данным Forbes, за крупнейшей на тот момент атакой могли стоять представители китайских органов власти. Пока ресурсы Occupy Central были недоступными, хакеры собирали данные сотрудников общественной организации. Персональная информация затем использовалась в фишинговых кампаниях и, вероятно, для политического давления на участников движения.

Как не пропустить новую угрозу под DDoS-атакой

Никакой волшебной кнопки, конечно, нет. Но есть методы, которые помогают защитить бизнес от комбинированных кибератак. Один из них — подключение antiDDoS в связке с WAF (Web Application Firewall). Комплексное решение позволяет эффективно отражать DDoS-атаки на бизнес, не теряя фокуса на других киберугрозах. 

Читайте также: Признаки DDoS-атаки. Как обнаружить угрозу вовремя.

Вторая рекомендация — обучать сотрудников правилам информационной безопасности. Ваши коллеги должны знать, как вести себя при DDoS-атаках, распознавать аномалии в поведении систем и фишинговые сообщения, а также к кому обращаться в случае ЧП. Обучение сотрудников не защитит ваш бизнес от кибератак, но поможет свести возможные киберугрозы к минимуму.