Важнейшим итогом 2024 года эксперты в области противодействия DDoS-атакам называют смещение фокуса нападающих кибермошенников с количества на «качество». Теперь они придерживаются подхода, при котором потенциальная цель хорошо изучается и под ее особенности формируется вектор атаки. Подвижки к этому начались еще в 2023 году, и теперь картина окончательно сложилась. О том, как изменился ландшафт DDoS и что этому способствовало, рассуждает руководитель направления защиты от DDoS-атак на уровне веб-приложений DDoS-Guard
Ботнеты всему виной
В мае 2024 года Европол о крупнейшей операции по борьбе с ботнетами (группа подключенных к Интернету устройств, каждое из которых запускает одного или нескольких ботов. ), которая остановила работу более сотни вредоносных серверов по всему миру. Однако этот успех не принес значительного облегчения. Активное распространение вредоносного ПО позволяет злоумышленникам укреплять существующие ботнеты и создавать новые на базе камер видеонаблюдения, маршрутизаторов и даже умных телевизоров. Коллеги из TrendMicro , что в одной из недавних DDoS-атак более 80% задействованных устройств были беспроводными маршрутизаторами TP-Link, Zyxel и других марок, еще 15% составили IP-камеры, а остальное пришлось на видеорегистраторы и другие устройства.В 2024 году мы наблюдали атаки, в рамках которых был задействован почти 1 млн уникальных IP-адресов. Это втрое больше, чем в 2023 году, и с количеством IP, используемых всей Исландией или Кипром. Прогнозы в этом направлении неутешительны, поскольку устройств, которые потенциально способны стать частью ботнета, каждый год выпускают миллионы.
Развитие ботнетов привело к колоссальному росту пиковой мощности DDoS-атак. Теперь объемные всплески скоростью более 1 Тбит/с становятся все более привычным делом. Если раньше мы о них узнавали от крупнейших корпораций, то теперь видим и на своих дашбордах (интерактивная аналитическая панель, графический интерфейс.).
В октябре 2024 года мы пережили крупнейшую в своей истории атаку в 2,4 Тбит/с. Выглядит это, конечно, красиво, но если мы в состоянии переварить такое количество трафика, поскольку специализируемся на защите от DDoS, то что делать, например, локальным операторам связи, у которых зачастую нет избыточной канальной емкости в таком объеме?
Телеком под прицелом
2024 год прошел под аккомпанемент DDoS-атак в адрес операторов связи и облачных провайдеров. Очаги вредоносной активности фиксировались практически в каждом регионе России, зачастую разрастаясь из кратковременной вспышки в многодневные атаки, нацеленные на переполнение каналов связи и перегрузку сетевого оборудования.Как правило, это комбинации нескольких векторов с целью «заливать» основной поток вредоносного трафика по наиболее уязвимым местам. На фоне атак на телеком-сектор мы обнаружили тренд, который назвали Make Attacks GRE Again, поскольку все чаще стали встречаться вариации с участием протокола GRE.
Наблюдаем увеличение медианной продолжительности атаки на 65% по сравнению с показателями 2023 года. Это также говорит в пользу конкретизированного выбора цели и сосредоточении атакующих ресурсов на ней. Отдельный «фланг» формируют маломощные, но длительные атаки. Подтверждение этому — случаи, когда на оператора связи в течение пяти дней вызывала сбои у его абонентов. Это не только борьба на истощение с теми, у кого нет защиты, но и возможность оценить эффективность принимаемых мер при ее наличии.
Помимо операторов связи страдали и облачные провайдеры. Хотя большая вычислительная мощность позволяет последним справляться с некоторым количеством атак, массированные всплески, о которых мы писали выше, создают высокие риски недоступности при отсутствии специализированной защиты. Даже крупные компании подвержены таким рискам, так как при развитом бизнесе не обязательно имеют сильную ИБ-инфраструктуру.
Веб-сервисы играют в домино
Еще одной отраслью, получившей повышенное внимание атакующих, стал финансовый сектор. Атаки на сайты, приложения банков и всю их инфраструктуру наибольшую интенсивность показали летом, но и в течение всего 2024 года давали нам пищу для размышлений и совершенствования системы защиты — особенно в дни объявления важных экономических анонсов и сдачи квартальной отчетности. Здесь стоит отметить, что независимо от отрасли число атак на уровне веб-приложений (L7) традиционно превышает более чем вчетверо число атак на сетевом и транспортном уровнях (L3-4). Так происходит из-за того, что стоимость организации L7-атак по-прежнему требует минимальных финансовых затрат.В тренде, как и в 2023 году, атаки на группы доменов. В результате изучения потенциальных целей определяются наиболее уязвимые компоненты инфраструктуры, и по всем выбранным представителям этой сферы атаки обрушиваются разом. Так было в этом году с разными тематическими группами — банками, игровыми и букмекерскими сервисами, СМИ и другими.
Социальная инженерия вышла на новый уровень и позволяет злоумышленникам выяснять «координаты» оборудования, где развернуты сервисы сторонних вендоров. Такие сервисы невозможно обнаружить без тщательного сканирования инфраструктуры потенциальной цели. Они, как правило, прежде не подвергались атакам и не способны выдержать массированный поток вредоносного трафика. Как следствие, выходя из строя, атакованные серверы по принципу домино «складывают» соседние.
Геоблокировки не помогут
Из 2023 года в 2024-й перешла тенденция к блокировкам трафика по геопризнаку. Этот подход применялся повсеместно в разных отраслях и масштабах — от запрета входящих запросов из определенных стран до добавления в черных список подсетей, содержащих десятки тысяч IP-адресов. Применяя такие настройки, администраторы веб-сервисов рискуют потерять значительную часть легитимного трафика.Уже весной 2024 года стало понятно, что подобные методы окончательно потеряли актуальность, поскольку атакующие в результате тщательной разведки выясняют, из каких регионов трафик не блокируется, и арендуют мощности на территории этих регионов. Разведка, как правило, проводится по открытым данным, но позволяет получить важные зацепки об инфраструктуре потенциальной жертвы, например в каких дата-центрах она размещена или как менялись DNS-записи. Злоумышленники легко перебирают множество облачных и физических серверов, пока не найдут подходящий ресурс, обходя блокировку по геопризнаку. Удешевление облачных систем делает атаки «изнутри страны» доступными и автоматизированными, позволяя массово использовать эту тактику.
Выборочный анализ показал, что в 70% случаев атакующие запросы поступают с российских IP-адресов. Государственные регуляторы запустили внутреннюю . Она включает в себя полную информацию о российских организациях, которую мы используем для идентификации по геопризнаку. Напоминаем, что геоблокировка служит лишь дополнительным инструментом для управления доступом к веб-контенту, но не является основным средством защиты от DDoS.
Выводы и прогнозы
Вредоносная активность показала волнообразную динамику. Летом обозначился кратный прирост за счет хактивизма на фоне событий политического и экономического плана. Вторая крупная волна выросла к концу года — это (уже ставший традиционным) период коммерчески мотивированных атак.Прирост общего числа DDoS-атак, по нашим данным, составил лишь 8,8% относительно 2023 года. Можно сказать, он незаметен в сравнении с приростами в 2021-2022 году — 753% и 2022-2023-м — 80%. Возможно, это выглядит парадоксально и противоречит данным наших коллег по индустрии, однако объясняется двумя факторами. Во-первых, число атак сокращается, но они становятся более «умными», используя сложные тактики и предварительную разведку. Во-вторых, и это связано с предыдущим трендом, торможение роста числа атак на клиентов DDoS-Guard само по себе демонстрирует надежность предоставляемой им защиты — киберпреступники не видят смысла тратить ресурсы и время на атаки, которые не приведут к успеху (выводу из строя бизнеса, прерыванию нормального режима работы, отказу сетевой инфраструктуры).
Интересным трендом 2024 года стал активный приток контент-генераторов. Их основная цель — быстрая и качественная доставка контента при использовании вендорных мощностей и построение оптимальных маршрутов. Если раньше потребности наших клиентов в основном составляла защита от DDoS-атак, то теперь в приоритете — многовекторное управление трафиком с возможностью создания правил, учитывающих специфику проекта. Это мотивирует нас развивать гибкость продукта и охватывать все больше направлений работы с трафиком.
