Злоумышленники пошли в кибератаку
Они все чаще используют зараженные виртуальные серверы
Уровень нелегитимного трафика веб-серверов в России вырос до 12% от общего, при этом половина из него уже приходится на активность вредоносных ботнетов. Кроме зараженных IoT-устройств в такие ботнеты все чаще включают арендованные или зараженные виртуальные машины и серверы для мощных DDoS-атак и распространения вирусов-шифровальщиков. Сами хостинг-провайдеры не всегда могут пресечь исходящую от их оборудования угрозу, при этом аренда мощностей именно в России позволяет хакерам скрыть свое местоположение и обойти блокировку.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
Доля нецелевого трафика, поступающего от веб-серверов, растет и по итогам 2024 года уже составляет 12% от общего числа запросов, рассказали “Ъ” в хостинг-провайдере RUVDS. При этом больше половины объема такого трафика составляет активность ботнетов (сети из большого числа устройств, используемых для кибератак высокой мощности). В частности, для DDoS-атак операторы ботнетов все чаще используют зараженные компьютеры и серверы.
Для DDoS-атак в большинстве случаев используют зараженные устройства с простой архитектурой, например IoT-устройства или умные гаджеты. Однако их используют в основном для атаки сетевого (L2) и транспортного (L3) уровней. Для атаки на уровень веб-приложений и серверов (L7) используются виртуальные серверы и виртуальные машины.
По словам директора по продуктам Servicepipe Михаила Хлебунова, злоумышленники арендуют мощности хостинг-провайдеров в основном для атак на L7-уровне. «При этом мы сталкивались с атаками, когда злоумышленники не выкупают виртуальные машины, а пользуются промоакциями хостеров и "берут" их непосредственно под атаку»,— отмечает эксперт. Однако злоумышленникам необязательно арендовать мощности у провайдеров для своих ботнетов. «Это также эксплуатация уязвимостей, когда легитимный клиент, сам того не зная, формирует вредоносный трафик»,— отмечает гендиректор хостинг-провайдера RUVDS Никита Цаплин.
При этом провайдерам защищать предоставляемые в аренду виртуальные серверы и машины сложно. «Без согласия пользователя хостинг-провайдер не вправе самостоятельно обновлять клиентское программное обеспечение, к тому же в некоторых случаях такое обновление может приводить к сбоям в его работе»,— поделился директор по информационным технологиям «Рег.ру» Евгений Мартынов.
108 часов
длилась самая продолжительная DDoS-атака в 2024 году, по данным Роскомнадзора.
Достоверно определить типы атак, исходящих от арендованного оборудования, также сложная задача, подтверждает директор по клиентской безопасности провайдера Selectel Денис Полянский: «В некоторых случаях по характерным признакам можно понять, что с устройства проходит DDoS-атака — провайдер видит резкий рост трафика, аномальную сетевую активность, а также нагрузку на сетевое оборудование, поэтому может блокировать такие атаки, информируя клиента о возможном заражении его инфраструктуры». В том случае, если атака осуществлялась на ресурсы, подключенные к государственной системе обнаружения ГосСОПКА, провайдер может получить уведомление об атаке уже от регулятора, добавляет эксперт.
Доступ к виртуальным серверам и машинам в руках злоумышленников несет угрозу, подтверждает руководитель направления защиты информации облачного провайдера Nubes Дмитрий Шкуропат. Помимо прочего виртуальные серверы используются для сокрытия месторасположения как самого ботнета, так и его оператора. «Виртуальные серверы, размещенные в российских центрах обработки данных, позволяют злоумышленникам скрывать свое истинное местоположение и обойти блокировку по GeoIP»,— предупреждает руководитель направления киберразведки ЦПК Innostage SOC CyberArt Александр Чернов.