Китайская компания подверглась DDoS-атаке мощностью 470 Гбит/с

Китайская компания подверглась DDoS-атаке мощностью 470 Гбит/с

Китайская компания подверглась DDoS-атаке мощностью 470 Гбит/с

Специалисты по кибербезопасности из компании Imperva рассказали, что в середине июня 2016 года им довелось наблюдать весьма необычную DDoS-атаку, ставшую самой мощной из всех атак, с которыми им приходилось иметь дело. Жертвой неизвестных хакеров стала китайская компания, занимающаяся азартными играми.

Злоумышленники направили на серверы компании поток трафика, мощностью до 470 Гбит/с и использовали для реализации атаки девять различных векторов.

Атака началась 14 июня 2016 года, и для начала хакеры продемонстрировали мощность 250 Гбит/с. Одно лишь это уже сделало бы атаку одной из наиболее мощных DDoS-атак в принципе, но злоумышленники не стали останавливаться на достигнутом. Постепенно наращивая мощность, хакеры добились мощности 470 Гбит/с, которая затем постепенно затухала на протяжении получаса. Суммарно атака продлилась четыре часа, пишет xakep.ru.

Исследователи Imperva пишут, что атака была очень сложной, так как злоумышленники использовали сразу девять различных типов пакетов. Подобная «запутанность» не свойственна DDoS-атакам: такое наблюдается лишь в 0,2% случаев.

Рассматриваемый инцидент начался с SYN-пакетов, а затем их сменили пакеты TCP/UDP. Эксперты отмечают, что обычно злоумышленники меняют один тип пакетов на другой, с целью не дать обороняющейся стороне уклониться от атаки. В данном случае все обстояло именно так, но потом атакующие вдруг сменили тактику и перешли на использование пакетов меньшего размера. Их целью было повышения количества пакетов в секунду. В результате, в пиковый момент атаки ее мощность составляла 110 млн пакетов в секунду (Mpps).

Компания Imperva, в числе прочего, предоставляет своим клиентам защиту от DDoS-атак, поэтому специалисты компании сталкиваются с такими угрозами постоянно. Они приводят статистику за первый квартал 2016 года. Атаки 50+ Mpps уже практически стали нормой: их наблюдают раз в четыре дня. Атаки 80+ Mpps тоже не особенно редки и встречаются раз в восемь дней. Атаки, превосходящие 110 Mpps, тоже уже не являются единичными случаями, хотя распространены меньше.

Хотя данная атака и стала для специалистов Imperva наиболее мощной из всех, с которыми они сталкивались лично, эксперты пишут, что мощность атаки, на самом деле, не настолько важна:

«Мы хотели бы пояснить, что с технической точки зрения атаки сетевого уровня мощностью 300, 400 или 500 Гбит/с не так сильно отличаются друг от друга. По сути, эти угрозы идентичны, и подход с ним тоже нужен одинаковый».

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru