В мае интенсивность специализированных DDoS-атак на российскую инфраструктуру увеличилась более чем на 200%, подсчитали в Qrator Labs. Наиболее эффективными стали атаки, имитирующие пользовательский трафик, например, с различных веб-сайтов и мессенджеров. На рынке есть средства защиты, но в целях экономии многие компании продолжают пренебрегать ими.
Фото: Игорь Иванко, Коммерсантъ
Интенсивность DDoS-атак на уровне приложений (Application Layer или L7 — имитируют обращение пользовательского приложения, например просмотр веб-страниц) к серверам жертв в мае увеличилась на 200% относительно апреля, рассказали “Ъ” в компании по защите от интернет-угроз Qrator Labs. По ее данным, всплеск таких атак на российскую IT-инфраструктуру был впервые зафиксирован в конце февраля — начале марта: количество IP-адресов, задействованных в злонамеренной активности за этот период, достигало почти 3,5 млн. В апреле показатель не превышал 1 млн за весь месяц, но в мае снова вырос до 2 млн опасных адресов.
Оборудование, противодействующее DDoS-атакам, в большинстве случаев успешно справляется с атаками другого типа, объясняет основатель и гендиректор Qrator Labs Александр Лямин: «В их числе угрозы, когда вредоносный трафик переполняет пропускную полосу». Но от атак на уровне приложений такое оборудование не помогает, отмечает господин Лямин: «Интерес злоумышленников к новому типу атак возрастает в разы, поскольку в таком случае трафик максимально похож на легитимный». Чтобы выявить атаки уровня L7, требуется анализировать поведение всех пользователей, заходящих в моменте на ресурс, но средства, используемые операторами связи, умеют анализировать только паттерн трафика, добавляет эксперт: откуда он идет, есть ли нетипичные IP-адреса, наблюдается ли аномальный всплеск активности.
В 2022 году атаки уровня L7 станут трендом, считают в Qrator Labs.
Ранее они тоже случались, но случаи были единичными. Например, одной из самых масштабных с обращениями через приложения была атака на сервисы «Яндекса» в 2021 году. Тогда к ресурсу отправлялись 21,8 млн запросов в секунду.
После начала военной операции на Украине 24 февраля Россия столкнулась с масштабными хакерскими атаками, которым подверглись госструктуры и частные компании. Одним из самых масштабных падений ресурсов стало временное отключение Rutube: сайт видеосервиса был недоступен более двух суток (см. “Ъ” от 11 мая). Российские власти уже начали блокировать зарубежный трафик по географическому признаку, но хакеры в то же время начали обходить блокировку через сервисы VPN, Proxy и устройства с российскими IP-адресами: роутеры, видеоняни и «умные» камеры (см. “Ъ” от 23 мая).
DDoS-атаки типа L7 опасны в первую очередь для тех организаций, которые предоставляют онлайн-услуги, поскольку длительная недоступность сервисов напрямую сказывается на бизнесе, говорит руководитель группы аналитики кибербезопасности Positive Technologies Екатерина Килюшева. При этом атаки уровня приложений часто осуществляются хактивистами, генерирующими трафик собственными браузерами или примитивными DDoS-инструментами, не требующими специальной подготовки или знаний, добавляет руководитель отдела разработки анализаторов кода и исследований Positive Technologies Владимир Кочетков: «Атака в этом случае управляется через средства коммуникации — типа чата в мессенджере или веб-сайте».
34 миллиарда рублей
превысили затраты госсектора на закупки в IT-секторе с 20 февраля по 20 апреля 2022 года, по данным «РТС-тендера».
Для защиты в данном случае необходимы межсетевые экраны уровня приложений (WAF), которые позволяют анализировать трафик веб-приложений, а также проводить их регулярный мониторинг на уязвимости, объясняет руководитель направления Application Security Softline Алексей Чупринин. По его оценке, стоимость ежемесячного обслуживания WAF начинается от 80 тыс. руб., но при этом на российском рынке их устанавливает меньше половины компаний, даже среди крупных предприятий. Отчасти, объясняет эксперт, так происходит потому, что это необязательное требование регулятора, и если, например, банку за неустановку дополнительной защиты не грозит отзыв лицензии, то бизнес старается сэкономить и не устанавливать защиту от атак уровня приложений. Поэтому, добавляет Алексей Чупринин, для российского сегмента интернета новая стратегия хакеров — существенная опасность.