После начала блокировки российскими властями зарубежного трафика по географическому признаку с помощью оборудования для фильтрации на сетях связи хакеры ищут альтернативные каналы организации DDoS-атак. Они используют сервисы VPN, Proxy и пользовательские устройства с российскими IP-адресами, например роутеры, видеоняни и умные камеры, которые объединяют в бот-сети. Эксперты отмечают, что обезопасить пользователей в целом могут хорошие антивирусы и базовые правила информбезопасности. Но самостоятельно определить, попало или нет ваше устройство в ботнет, сложно.
Фото: Игорь Иванко, Коммерсантъ
Чтобы обойти фильтрацию трафика со стороны РФ по географическому признаку для совершения DDoS-атак (вид атаки на систему через избыточные интернет-запросы), хакеры стали использовать VPN и Proxy-сервисы, а также пользовательские устройства, утверждает Telegram-канал IT Army of Ukraine (более 260 тыс. подписчиков). В начале апреля Forbes сообщил, что Роскомнадзор создаст национальную систему защиты от DDoS-атак. Для этого ведомство намерено обновить оборудование для глубокой фильтрации трафика (Deep Packet Inspection, DPI), которое используется для исполнения закона о суверенном интернете. Источник “Ъ”, знакомый с ситуацией, говорит, что уже с марта Минцифры совместно с Роскомнадзором начали использовать это оборудование для фильтрации трафика по географическому признаку на границах России. В Минцифры запрос “Ъ” переадресовали в Роскомнадзор, где отказались от комментариев.
С 24 февраля, когда было объявлено о начале военной операции на Украине, Россия столкнулась с волной кибератак на госсектор и бизнес. По данным «Лаборатории Касперского», компания в конце февраля отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период 2021 года (см. “Ъ” от 28 февраля).
При борьбе с DDoS-атаками механизм блокировки по географическому обращению для ряда сервисов является быстрым и действенным, подтверждает директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.
Злоумышленники, понимая, что ресурс включил такую блокировку, начинают использовать в своих атаках IP-адреса, не входящие в этот список, то есть находящиеся на территории России, поясняет эксперт: «Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты (Botnet — сеть из зараженных устройств, которая используется для организации DDoS-атак и спам-рассылки.— “Ъ”), объединяющие зараженные устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных зараженных умных устройств или просто персональных компьютеров». По оценке Positive Technologies, такие технологии обеспечили в 2022 году 60% атак на устройства, которые могли использоваться для последующих атак.
На фоне блокировок трафика из-за рубежа атакующие стали выбирать устройства, находящиеся в российском адресном пространстве, соглашается основатель Qrator Labs (занимается защитой от DDoS-атак) Александр Лямин: «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна».
Ботнеты из пользовательских устройств относительно маленькие и не очень мощные, зато практически бесплатны для владельца и, главное, многочисленны, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников.
Например, в недавних крупных атаках был задействован Meris (ботнет, через который 5 сентября 2021 года хакеры совершили мощнейшую в истории интернета DDoS-атаку на серверы «Яндекса», отправляя 21,8 млн запросов в секунду), говорит эксперт. Развитию бот-сетей, по его словам, сегодня способствует то, что «сетевые функции имеют чайники и холодильники».
Даже в таких условиях пользователь может обезопасить себя, придерживаясь правил информационной безопасности, полагает руководитель блока анализа защищенности Infosecurity a Softline Company Андрей Найденов: использовать хороший антивирус, не применять заводские пароли в предметах IOT (камеры, роутеры, видеоняни). Но при этом, признает эксперт, обычный пользователь не сможет определить, попало ли его устройство в ботнет.