Интенсивность DDoS-атак на российские компании начала снижаться примерно с 9–10 марта, рассказал РБК основатель компании Qrator Labs Александр Лямин. В ходе подобных атак злоумышленники направляют на сайт большое количество запросов, превышающих пропускную способность сети, что блокирует работу ресурса.
Сайты различных российских организаций столкнулись с массовыми DDoS-атаками после того, как Россия начала специальную военную операцию на Украине 24 февраля. Самая сложная и многочисленная по количеству одновременно задействованных устройств атака была зафиксирована 7 марта — в ней приняли участие более 3,5 млн устройств, рассказал Александр Лямин.
«Особенность наблюдаемых атак заключается также в том, что это атаки уровня приложения (Application Layer, L7), трафик которых может максимально походить на активность обычных пользователей. В таких нападениях используется шифрованный HTTPS трафик, для очистки которого требуется большое количество ресурсов и вычислительных мощностей, поскольку к обработке незашифрованных запросов добавляется криптографическая нагрузка», — отметил Лямин. Он подчеркнул, что еще рано говорить о том, что наблюдаемый спад атак является окончательным. «Если в условиях специальной военной операции будут еще обострения, то и на киберпространстве это однозначно отразится увеличением числа и интенсивности нападений», — заключил эксперт.
«Если смотреть только на количество отраженных атак, то действительно можно сделать вывод, что пик пришелся на 23, 24 и 25 февраля, а сейчас как будто бы есть тенденция на спад», — подтвердил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников. В то же время он обратил внимание на то, что изменился характер атак. «В первые дни мы отмечали, что в атаках одновременно с профессиональными злоумышленниками участвовало большое количество пользователей, не обладающих компетенциями и инструментарием для сложных атак, хактивистов. Со временем их число сократилось, но их все еще довольно много. Кроме того, сейчас в основном проходят сверхдлительные атаки, продолжающиеся сутками», — рассказал Александр Гутников. Если сравнивать с периодом до 24 февраля, атак до сих пор в разы больше, добавил он. При этом он напомнил, что в четвертом квартале прошлого года «Лаборатория Касперского» зафиксировала рекордные показатели по DDoS-атакам. «Поэтому нынешнюю ситуацию можно лишь условно охарактеризовать тенденцией к спаду», — заключил эксперт.
Ранее компания «Ростелеком-Солар» указывала, что главной мишенью DDoS-атак являются ресурсы органов власти. Только за 7–10 марта на один из госпорталов было совершено около 1700 подобных атак, писала компания. При этом в коммерческом сегменте с 1 по 10 марта было зафиксировано и отражено 1100 DDoS-атак, что превысило показатель за весь февраль. Наибольшее число атак пришлось на банки (свыше 450 атак).
Еще один собеседник РБК на рынке информационной безопасности отметил, что главным итогом последних дней стало не только снижение числа атак, но то, что «у клиентов исчезла паника, которая была вначале».
25 февраля и еще несколько последующих дней DDoS-атакам подвергались российские СМИ, в том числе РБК. Интенсивность атаки на РБК составила 2,5 млн запросов в минуту. Также с начала военных действий в России наблюдались проблемы с доступом к сайтам Кремля, правительства и Госдумы для пользователей из других стран: ресурсы не загружались и автоматически выдавали другой адрес со словом «DDoS». Однако в Кремле опровергали информацию о DDoS-атаках. Кроме того, ЦБ собирал с банков данные об их ресурсах, подверженных DDoS-атакам, чтобы помочь им с фильтрацией зарубежного трафика. 5 марта ЦБ сообщил о замедлении работы Системы быстрых платежей из-за DDoS-атаки.
Сейчас, по словам Лямина, активно атакуют финансовый сектор, СМИ, государственные и логистические сервисы, а также ретейл. «Логистику и госсервисы не атаковали в таких объемах раньше никогда, и можно предположить, что атаки на эти сферы будут продолжаться», — говорит он.
Издание TheRecord со ссылкой на американского эксперта в сфере инфраструктуры интернета и члена организации мониторинга Kentik Дуга Мадори ранее писало, что для отражения кибератак на сайты российское правительство может применять защитную техническую меру, известную как «геозона». С ее помощью можно заблокировать доступ к определенным сайтам из районов, которые не входят в сферу влияния России. Таким образом, количество точечных запросов на сайт сокращается и минимизирует вероятность прекращения работы сайта.
Однако этот метод затрудняет доступ к ресурсам и из России, если у пользователя включен сервис VPN (виртуальная частная сеть — безопасное зашифрованное подключение пользователя к Сети, которое позволяет подключиться к нужным ресурсам через промежуточную точку в другой стране и защитить трафик от анализа внутри исходной страны). Рост интереса к VPN-сервисам в России наблюдается с 24 февраля. С помощью подобных сервисов россияне в том числе сохранили доступ к популярным соцсетям Facebook и Instagram, которые были заблокированы в стране с 4 и 14 марта соответственно. 21 марта владелец этих соцсетей — Meta Platforms Inc. — была признана экстремистской организацией в России.
При этом Александр Лямин отметил, что методика фильтрации трафика по геолокации «является неточной и неэффективной, поскольку вместе с зарубежными IP-адресами под блокировку могут попасть и российские, а часть зарубежных могут быть не заблокированы».
Екатерина Ясакова