Инструменты для проведения DDoS-атак набирают популярность

Инструменты для проведения DDoS-атак набирают популярность

Prolexic опубликовала информационный бюллетень, посвященный разбору itsoknoproblembro ― тулкита для проведения DDoS-атак, взятого злоумышленниками на вооружение в минувшем году. Документ содержит результаты анализа modus operandi и отдельных php-скриптов, входящих в этот комплект, топологии ботнета, построенного на его основе, а также рекомендации по обнаружению данной угрозы и предотвращению заражений.

Как мы уже писали, itsoknoproblembro активно участвовал в мощных осенних DDoS-атаках на американские банки, которые продолжились в декабре. По данным Prolexic, пиковая мощность этих атак составила 70 Гбит/с и свыше 30 млн. пакетов/с. Первые инциденты с использованием itsoknoproblembro эксперты зафиксировали год назад. По словам экспертов, эти DDoS-кампании, направленные против хостинг-провайдеров и представителей энергетической промышленности, были достаточно скромными. Примерно тогда же этот весьма опасный инструмент объявился в России.

Как показали результаты анализа, itsoknoproblembro позволяет проводить параллельные разноплановые DDoS-атаки против нескольких мишеней. Он поддерживает такие техники атак, как POST, GET, TCP и UDP flood, UDP flood,
с использованием прокси-серверов и без таковых. Атаки типа HTTP flood могут быть комбинированными (чередование GET и POST запросов), а также с использованием защищенных (https-) соединений. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков, используя уникальную двухступенчатую систему командного управления. Получив команду на атаку, он многократно ее повторяет, используя штатную программу командной строки cURL на зараженной машине, пишет securelist.com.

Стремясь обеспечить большую пропускную способность при небольшом количестве зараженных машин, злоумышленники построили многотысячный ботнет на взломанных веб-серверах. Они внедрили вредоносные скрипты, используя известные уязвимости в системах управления сайтами, таких как WordPress, Joomla, AWstats, Plesk, cPanel, phpMyFAQ и проч. По оценке Prolexic, наиболее часто с этой целью используются бреши в шаблоне Bluestork (Joomla) и плагине TimThumb (WordPress). В интернете функционирует большое количество сайтов, использующих устаревшие версии CMS-продуктов, и случаи массового взлома ресурсов через эксплуатируемую уязвимость нередки.

По свидетельству экспертов, ботнет, основанный на itsoknoproblembro, многоярусный и не имеет стандартного C&C интерфейса. После загрузки на ботнет общего списка инфицированных узлов (Prolexic называет их bRobot'ы) активизируются скрипты, подающие команду на проведение атаки. На bRobot'ы устанавливаются разные комбинации файлов из общего набора, ботоводы имеют к ним доступ, проверяют статус бота и инициируют DDoS-атаки.

Все бот-серверы условно делятся на контроллеры и непосредственных исполнителей атаки: первые отсылают команды (IP-адрес мишени, продолжительность атаки, размер пакетов), адресованные конкретным скриптам на узлах второго уровня. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков: получив команду с «контроллера», он многократно ее повторяет, пересылая самому себе через GET запросы. Кроме этого, «исполнители» и «контроллеры» ведут активный «одноранговый» обмен, в результате которого на каждом уровне может произойти смена состава. Еще один ярус ботнета составляют открытые http-прокси, используемые атакующими для сокрытия источников DDoS трафика.

По прогнозам Prolexic, популярность itsoknoproblembro у инициаторов DDoS кампаний продолжит расти, посему важно начать активную борьбу с этой угрозой. Как показывает статистика, время жизни bRobot в настоящее время превышает полгода. Персистентность инфекции и трудоемкость очистки зависят от числа и разнообразия вредоносных файлов, а также от количества бэкдоров, установленных злоумышленниками. Использование устаревших, уязвимых CMS-продуктов ― глобальная проблема, и эксперты призывают разработчиков упростить процедуру их обновления, чтобы после персональной настройки пользователям не приходилось менять конфигурацию при каждом апдейте. Информационный бюллетень с профилем itsoknoproblembro доступен на сайте Prolexic (требуется регистрация).

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru