Динамика DDoS-атак: обзор первого квартала 2024 года

Мы продолжаем следить за тем, как меняются DDoS-атаки на критическую инфраструктуру и не только, — их интенсивностью и характером. Сегодня говорим о том, что произошло за последние полгода.

Взгляд на ситуацию

В первом квартале 2024-го число DDoS-атак выросло почти на 30%, по сравнению с аналогичным периодом годом ранее. И одной из наиболее крупных угроз по-прежнему остаются ботнеты. Так, примерно каждая двадцатая DDoS-атака производится с помощью ботнета типа Mirai. В то же время наблюдается тенденция к увеличению мощности этих вредоносных сетей. Например, в начале года компания Cloudflare отразила атаку мощностью 2 Тбит/с, направленную против азиатского хостинг-провайдера.

DDoS подобного масштаба считался рекордным в 2021 году, но сегодня это — обычное явление. Многие атаки достигают критических уровней за 14 секунд по сравнению с 55 секундами двумя годам ранее. Дело в том, что злоумышленники стремятся не просто помешать работе основного домена и нарушить процессы внутри компании, но вывести из строя всю её инфраструктуру.

По оценкам резидентов Hacker News, рост числа DDoS-атак затрагивает не только крупные компании, но также малый бизнес и индивидуальных разработчиков. Пользователь площадки рассказал, что ему пришлось отказаться от селфхостинга и в срочном порядке переносить свой сайт в облако. За короткое время количество ежедневных запросов к его ресурсу выросло с нескольких сотен до пяти миллионов. Справиться с такой угрозой самостоятельно может далеко не каждый.

Если вновь обратиться к статистике, то любимой целью хакеров в Северной Америке стали организации из сферы рекламы и маркетинга. В Африке и Европе основной целью стали ИТ-компании — на них были направлены порядка 75% DDoS-атак сетевого уровня. Объектом повышенного внимания злоумышленников на Ближнем Востоке стала индустрия программного обеспечения, а в Азии — игровая индустрия и азартные игры. На континенте Южной Америки банковская сфера, финансовые услуги и страхование оказались основной целью злоумышленников. Эксперты связывают этот тренд с особенностями экономического и технологического развития региона. Например, Бразилия является девятой по величине экономикой в мире, и в ней больше смартфонов, чем людей.

Пара заметных событий

С конца августа 2023 года Cloudflare и ряд других провайдеров подвергались серии комплексных DDoS-атак с быстрым сбросом (Rapid Reset). Камнем преткновения стала особенность протокола HTTP/2, которая позволяет клиенту в срочном порядке разорвать подключение (например, при закрытии страницы сайта в браузере). Для этого он направляет на сервер специальный кадр — RST_STREAM. С одной стороны, эта функция позволяет снизить нагрузку на сервер и освобождает его от лишней работы, с другой — может служить инструментом для усиления DDoS-атак. Злоумышленники могут использовать эту особенность, чтобы направить серверу поток запросов и тут же сбросить подключение, не дожидаясь ответа. Всего несколько машин способны перегрузить систему (особенно с прокси-серверами и балансировщиками нагрузки).

Еще одно знаковое событие — DDoS-атака на инфраструктуру Blender, разрабатывающей ПО для 3D-моделирования. В период с 18 по 22 ноября серверы компании получили полтора миллиарда запросов. На пике вредоносный трафик составлял порядка 100 тыс. запросов в секунду. Пользователи тематического форума отметили, что, судя по всему, это самая крупная и продолжительная DDoS-атака, с которой когда-либо сталкивалась компания. Специалисты попытались заблокировать IP-адреса, с которых «сыпались» вредоносные запросы, но это не помогло — хакеры оперативно их меняли. В итоге команде пришлось в срочном порядке переносить сайт в облако, чтобы использовать защитный инструментарий провайдера. Как отметили специалисты, подобные DDoS-атаки на ресурсы open source проектов не только вызывают неудобства у команды разработки, но и несут в себе косвенные кибер-риски для пользователей. Если основной сайт становится недоступен, они могут попытаться загрузить приложение со стороннего ресурса. Нельзя гарантировать, что в нем не будет «закладок» и других зловредов.

Что там с защитой

В качестве ответа на растущую угрозу инженеры развивают инструменты, которые помогут в киберборьбе со злоумышленниками. Например, одним из таких решений является Advanced DNS Protection (ADP) — это система для защиты DNS-инфраструктуры от DDoS-атак. Она использует алгоритмы машинного обучения для идентификации и блокировки вредоносного DNS-трафика до того, как он достигнет целевых серверов.

У развития систем искусственного интеллекта есть и другая сторона медали. Как отметили участники недавнего тематического форума инноваций GovInsider, машинное обучение демократизировало разработку вредоносного программного обеспечения и облегчило проведение кибератак. Да, сервисы вроде ChatGPT и Google Gemini, отклоняют запросы, которые они считают вредоносными. Однако существуют специализированные чат-боты, не ограниченные рамками законности, и их можно применить для написания вредоносного кода и поиска уязвимостей.

Вопросы информационной безопасности, связанные с применением систем искусственного интеллекта, привлекают внимание регуляторов по всему миру. Инициативы включают внедрение технических мер защиты, способных противостоять атакам, с использованием систем ИИ, укрепление международного сотрудничества в области кибербезопасности, а также разработку нового законодательства. Например, летом прошлого года Европарламент начал рассматривать законопроект о регулировании развития систем ИИ — artificial intelligence act. Документ предлагает классифицировать их по категориям риска и выделяет ряд технических требований, призванных обеспечить надежность и безопасность моделей машинного обучения. Политики планируют учредить профильный орган, который будет следить за соблюдением правил на территории ЕС.

Другой пример — в конце октября 2023 года в США был подписал указ, направленный на стандартизацию развития систем ИИ. Теперь разработчики интеллектуальных решений, представляющих угрозу национальной безопасности США, экономике, здоровью населения, должны проработать тесты и стандарты для защиты своих платформ от кибератак и делиться с правительством критической информацией.

В теории правительственные меры должны сократить ущерб от кибератак с использованием систем искусственного интеллекта в будущем. Но, как это обычно бывает, регулирование развивается медленнее, чем технологии, следовательно, есть риск, что они быстро выйдут за границы законодательного фреймворка. Также остаются вопросы с правоприменением и смогут ли компании, развивающие системы ИИ, следовать новым правилам. Достаточно посмотреть на то, что происходило после принятия GDPR в Европе, когда организации физически не могли выполнить требования законодательства и были вынуждены сворачивать деятельность. Поэтому важно, чтобы компании и государства продолжали улучшать свои механизмы защиты и разрабатывать стратегии противодействия DDoS-атакам.

О чем еще мы пишем в нашем блоге:

• Когда мобильная сеть недоступна: зачем запускают звонки через интернет. Это — наш обзор технологии VoWiFi и подходов к её реализации: от OTT и UMA до недоваренного доступа к ePDG. Кто использует технологию звонков через интернет, в чем её преимущества и есть ли у неё перспективы, ведь операторы сотовой связи не могут контролировать качество подключения через сторонние точки доступа.

• Почему свежие ИБ-законопроекты не находят широкой поддержки — примеры и мнения. Регуляторы пытаются «нащупать» баланс между закручиванием гаек в сфере ИБ и бизнес-интересами компаний. Рассматриваем наиболее значимые международные инициативы и реакцию сообщества. Говорим про европейский Cyber Resilience Act, проект индийского подразделения CERT, а также американский Federal Acquisition Regulation, который устанавливает регламенты кибербезопасности для государственных подрядчиков. Их хотят обязать сообщать о взломах в течение восьми часов. Ожидаемо, жёсткий дедлайн вызвал серьезную критику.

• Что происходит с сетевым нейтралитетом в мире — пользователь в центре внимания. Продолжаем следить за ситуацией вокруг net neutrality. Так, в США регулятор выбрал мягкий подход и предложил интернет-провайдерам самостоятельно разрешать конфликты и проблемы, связанные с пропускной способностью. В Южной Корее правила net neutrality отменили восемь лет назад, и результаты эксперимента в лучшем случае противоречивые. Так, крупная стриминговая платформа готовится покинуть южнокорейский рынок — всему виной непомерные расходы на работу.

• ЕС внедряет правительственные веб-сертификаты — почему инициатива вызывает опасения в ИТ-сообществе. Комьюнити обеспокоено, что регуляторы и правоохранители стран — членов Евросоюза получат доступ к персональным данным граждан региона. Нельзя гарантировать, что новые правительственные сертификаты будут отвечать всем требованиям безопасности. Кроме того, их могут использовать для запуска фишинговых кампаний (такое уже случалось).