Век огромных бот-сетей закончился

Киберпреступники, профессионально занимающиеся DDoS-атаками, все реже используют огромные бот-сети из зараженных компьютеров для проведения атак, предпочитая более эффективные и простые в управлении веб-серверы. Эксперты по информационной безопасности из «Лаборатории Касперского» и компании Highload Lab рассказали о том, почему это происходит, а также о некоторых других изменениях, произошедших в сфере DDoS-атак и борьбы с ними за последние годы.

По данным экспертов из американской компании Prolexic Technologies, занимающейся отражением вредоносных атак, в четвертом квартале 2012 года общее количество DDoS-атак выросло на 19% по сравнению с тем же периодом предыдущего года и на 27,5% по отношению к третьему кварталу. Средняя мощность атак за год выросла на 13% — с 5,2 до 5,9 Гбит.

Российские эксперты в области борьбы с DDoS-атаками согласны с западными коллегами: количество таких инцидентов растет, и они становятся более изощренными. Руководитель проекта Kaspersky DDoS Preventioninfo-icon «Лаборатории Касперского» Алексей Афанасьев и генеральный директор компании Highload Lab (защита от DDoS-атак) Александр Лямин, рассказали, как атаки на «отказ в обслуживании» эволюционируют, кто является главными мишениями и чего ждать от данной угрозы в будущем.

Серверы вместо обычных ПК

До недавнего времени для проведения мощных DDoS-атак киберпреступники использовали в основном крупные бот-сети (сети из зараженных компьютеров). Чем больше компьютеров заражено, тем более мощную атаку можно организовать — таким был основной мотив для строительства многомиллионной бот-сети. Однако поддерживать работоспособность достаточно крупной для мощных атак бот-сети — тяжелая задача, ведь злоумышленникам постоянно необходимо следить за тем, чтобы в онлайн-доступе было нужное количество зараженных компьютеров, пишет digit.ru.

Это, в свою очередь, означает, что потребуются постоянные траты на покупку новых «загрузок», то есть новых зараженных компьютеров взамен тех, что по каким-либо причинам выпали из бот-сети. В условиях постоянного роста числа компьютеров, на которых установлены коммерческие антивирусные продукты, эта задача становится все более хлопотной. В ответ на эту тенденцию хакеры ищут новые инструменты для атак, отмечает Алексей Афанасьев.

«Если дорого и некомфортно иметь гигантский ботнет, его постоянно пополнять и поддерживать, то злоумышленник ищет более простые способы расположить источники своего нападения. Все чаще это выделенные серверы», — сказал эксперт.

По словам Афанасьева, рост числа программного обеспечения для виртуализации серверов (создания виртуальной копии реального компьютера или сервера) и относительная простота его использования привели к появлению большого числа плохо сконфигурированных серверов, а также серверов, содержащих незакрытые уязвимости. Злоумышленники находят такие серверы, встраивают в них средства для осуществления DDoS-атак, и просто ждут «заказа».

«Принципы организации таких атак изменились. Вместо сотен тысяч рабочих станций — несколько серверов. Они производительнее, их быстрее и проще активировать», — отметил эксперт.

С Афанасьевым согласен Александр Лямин, генеральный директор компании Highload Lab, занимающейся защитой от DDoS-атак. Он добавил, что распространение практики использования серверов в качестве источника вредоносного трафика связано с появлением новых инструментов анонимизации, которые ранее не были доступны.

«Действительно, серверы используют все чаще, в том числе потому, что появился инструментарий, позволяющий генерировать пакеты с поддельными IP-адресами на высоких скоростях», — рассказал Лямин.

Теоретически отразить DDoS-атаку можно, имея информацию об источниках вредоносного трафика — то есть, IP-адресах, с которых к атакуемому сайту идет паразитный трафик. Однако использование инструментария для анонимизации затрудняет выявление таких источников и — как следствие — устранение самой атаки.

При этом даже при наличии информации об источниках вредоносного трафика, далеко не всегда удается отключить серверы, с которых он идет, отмечает Алексей Афанасьев. Злоумышленники территориально распределяют инфраструктуру для осуществления атак так, чтобы их было максимально трудно прекратить через обращение к провайдеру или дата-центру, в котором расположен атакующий сервер.

«Наши партнеры рассказывали нам об атаке, в которой серверы управления бот-сетью находились в одной из стран Центральной Азии, сами серверы, с которых велись атаки — в Турции и Европе, а цели атак — в США. Быстро закрыть такую бот-сеть или центр управления через прямое обращение к правоохранительным органам невозможно, поскольку злоумышленники выбрали страны, руководство которых крайне неохотно взаимодействует друг с другом. При этом преступники, как известно, границ не имеют», — рассказал Афанасьев.

Высокие сезоны

Как и прежде, больше всего атак происходит в периоды наибольшей бизнес-активности — в «высокие» сезоны в сфере торговли товарами и услугами. В году таких сезона два — с конца осени и до новогодних праздников, а также примерно с середины весны и до начала лета, в сезон отпусков. В предновогодний сезон под атаками оказываются интернет-магазины и сайты, предоставляющие востребованные в это время года услуги (замена и продажа зимней резины для автомобилей, например); в весенне-летний сезон хакеры переключают внимание на сайты туристических агентств, сервисов по продаже билетов, бронированию гостиниц и интернет-магазины с товарами, которые актуальны в этот период. Чаще всего причиной атак становится недобросовестная конкуренция. Бывают, впрочем, и сферы бизнеса, которые находятся под угрозой DDoS круглый год.

«Банки, площадки для интернет-торговли и другие финансовые организации — их недоступность в любое время года ведет к репутационным и финансовым потерям. Тендеры переносятся на другие торговые площадки, а клиенты банков, столкнувшись с недоступностью личного кабинета, просто перенесут свои деньги в другой банк», — приводит примеры Афанасьев.

Доступность DDoS-атак

Тот факт, что профессионалы переключили свое внимание с развертывания миллионных бот-сетей на поиск и заражение более мощных и удобных для DDoS-атак серверов, не означает, что ботнеты и угрозы от них остались в прошлом. Бот-сети из зараженных компьютеров мельчают и становятся более доступными для неподготовленных хакеров, отмечает Александр Лямин.

«Время бот-сетей-„миллионников“ уходит. Максимум, что мы видим сейчас — это сети из 200-300 тысяч компьютеров. Одновременно из-за наличия большого количества различных средств для создания бот-сетей в открытом доступе, эта сфера становится очень конкурентной и минимальная цена на атаку постоянно снижается», — рассказал Лямин.

По его словам, сегодня организовать относительно заметную DDoS-атаку стало настолько просто, что это может сделать даже человек с минимальными представлениями о программировании. В результате чего растет количество относительно простых по принципу организации DDoS-атак, но эффективных против небольших компаний и сайтов. Такие атаки организованы далеко не профессионалами, но и они приносят результат как заказчикам в виде недобросовестных конкурентов из сферы малого бизнеса, так и исполнителям, получающим возможность заработать лишние несколько десятков долларов на карманные расходы.

«Это в порядке шутки, конечно, но мы видим тенденцию роста именно таких несложных атак в период школьных каникул. Этакий высокий „школьный“ сезон», — рассказал Александр Лямин.

Мобильные бот-сети и социальные атаки

Из наиболее интересных тенденций будущего DDoS-атак Лямин отмечает ботсети из мобильных устройств и «социальный» DDoS.

«Мобильные ботнеты уже существуют, но из-за низкой пропускной способности каналов мобильного интернета использовать их для DDoS-атак бессмысленно. А вот для реализации различных мошеннических схем с платными SMS и похищением персональных данных такие сети уже используются», — рассказал Лямин.

Впрочем, теоретически для атак мобильные бот-сети также могут быть применены. Но целью в этом случае будет не сайт компании или интернет-магазина, а сама мобильная сеть.

«Большое количество мобильных устройств теоретически позволяет организовать такую атаку. Если кому-то понадобится вывести из строя сеть сотовой связи, с помощью достаточно большого мобильного ботнета он сможет это сделать. Пока таких случаев зарегистрировано не было, но в индустрии эту угрозу видят, судя по тому, что средства защиты от подобных атак уже существуют», — рассказал эксперт.

Также эксперты ожидают нового витка в области так называемых социальных DDoS-атак, которые организовываются интернет-активистами, использующими торговую марку Anonymous, ради выражения политического протеста. Хакеры из этого движения обычно используют для атак программу Low Orbital Ion Cannon, которая по осознанным и добровольным действиям пользователя превращает компьютер в инструмент для DDoS-атак. По словам Лямина, эта программа эволюционирует.

«Изначально LOIC была очень примитивной, и отфильтровать вредоносный трафик, который генерировался с ее помощью, было очень просто. В определенный момент она стала абсолютно неэффективной. Но сейчас мы видим новые вариации программы, в которых используются интересные технологии, позволяющие обойти известные защитные механизмы сайтов. Распознать такой трафик все еще довольно просто, но уже не так, как раньше», — сказал эксперт.

По мнению Лямина, в целом будущее DDoS-атак «безоблачно». Для действительно эффективного решения проблемы придется серьезно переработать основные протоколы передачи данных используемые сетью. По словам эксперта, к сожалению, внедряемый сейчас новый протокол IPv6 не вводит никаких новых механизмов для противодействия этому явлению. Лямин выразил надежду, что у инженерного сообщества получится сформулировать и реализовать необходимый набор инструментов к появлению следующей версии протокола IP, но произойдет это даже не в этом десятилетии.

«До тех пор атаки будут здесь, пока они будут в состоянии сгенерировать финансовую выгоду для заказчиков и исполнителей. До тех пор пока инфраструктура интернета серьезно не поменяется и не сделает DDoS-атаки невозможными. Это требует переработки базовых протоколов интернет-маршрутизации и самих протоколов передачи данных. Пока это не будет сделано, ничего здесь не изменится», — резюмировал Александр Лямин.

Подпишитесь
в Facebook

Я уже с вами