Лаборатория Касперского зафиксировала новый скачок мощности DDoS-атак в Рунете. Во время весенней «кампании» злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гб/с, а в пиковые моменты превышала 100 Гб/с. Такие показатели стали новым рекордом для российского сегмента Глобальной сети – всего год назад самая мощная DDoS-атака в Рунете не превышала порога в 60 Гб/с.
Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях. Для сравнения, нашумевшие год назад атаки, в том числе на ряд известных российских СМИ, типа DNSAmplification имеют коэффициент усиления в 10 раз меньше – до 54 раз. Помимо этого, любой Amplification дает злоумышленникам возможность скрыть свой настоящий адрес, что затрудняет их идентификацию.
Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак, затронувшей крупнейшие банковские структуры России, в том числе Альфа-Банк и ВТБ24, федеральные министерства, одну из крупнейших российских авиакомпаний «Аэрофлот», телеканал Russia Today и другие организации. В течение одной недели в марте хакеры с разной степенью интенсивности атаковали различные веб-ресурсы этих организаций. В пиковые моменты мощность атак доходила до 120 Гб/с.
Однако даже такой мощности атаки не смогли существенно нарушить нормальное функционирование веб-ресурсов, оказавшихся под прицелом злоумышленников, но находившихся под защитой «Лаборатории Касперского». Система противодействия атакам на базе решения Kaspersky DDoS Prevention, применяемая во всех этих учреждениях, позволила отразить нападки злоумышленников посредством фильтрации интернет-трафика. Принцип защиты, реализованный в этом решении, сводится к тому, что весь «мусорный» трафик, создающий избыточную нагрузку на канал, операционную систему, приложение и приводящий к недоступности ресурса, проходит через распределенные центры фильтрации, где и отсекается. Таким образом, защищаемый ресурс получает только легитимные запросы пользователей и способен продолжать работу даже во время атаки.
В частности в Альфа-Банке «Лаборатория Касперского» защищала платежные шлюзы, благодаря чему эти ресурсы продолжали полноценно работать во время мартовских атак. В свою очередь, в ВТБ24 под защитой «Лаборатории Касперского» находился комплекс почтовых серверов, а также клиент-банк и еще ряд веб-сервисов – все они также работали без сбоев во время серии DDoS-атак.
«С уверенностью можно сказать, что DDoS-атаки стали одним из постоянных факторов риска в нашей деятельности – интернет-сервисы нашего банка не раз оказывались под ударом киберзлоумышленников. Свести этот риск к минимуму и даже вовсе избежать его нам помогает защитное решение «Лаборатории Касперского», которое уже неоднократно позволяло нормально функционировать нашим веб-ресурсам во время DDoS-атак. К сожалению, в ходе таких атак есть небольшие перерывы в работе атакуемых сервисов (не более 15 минут), связанные с переключением трафика на режим фильтрации, но в целом можно заявить, что решение «Лаборатории Касперского» позволяет обеспечить работоспособность сервисов во время проведения на них массированных DDOS-атак. Инциденты, случившиеся в марте, являются наглядным тому подтверждением», – рассказывает Анатолий Брагин, заместитель начальника Управления информационной безопасности Банка ВТБ24.
«Резкое увеличение мощности DDoS-атак в Рунете произошло из-за обнаруженной в протоколе NTP возможности, а точнее команды, которая в ответ на запрос отправляет последние 600 IP-адресов, обращавшихся к серверу. Именно эта особенность и дает тот самый коэффициент усиления, – поясняет Евгений Виговский, менеджер по развитию бизнеса Kaspersky DDoS Prevention «Лаборатории Касперского». – Пока IT-специалисты будут пренебрегать корректной настройкой NTP серверов, такого рода атаки будут продолжаться. Как бы то ни было, другие типы атак, разумеется, никуда не исчезли и не потеряли своей привлекательности в глазах киберпреступников, равно как и специализированная защита от DDoS-атак не потеряет своей актуальности».
