В последнее время всё чаще слышно о различных сетевых атаках: на RDP, разработчиков методов борьбы с коронавирусом и даже на суперкомпьютеры.

Израильские учёные из Тель-Авивского университета и Междисциплинарного центра в Герцлии опубликовали ещё один метод, позволяющий использовать в качестве атакующего средства DNS-резолверы.

Службы DNS, как известно, используются в сетях для получения информации о доменах, например, для получения IP-адреса по имени хост-системы. Однако согласно опубликованному исследованию, именно DNS-резолверы можно использовать и в качестве так называемых «усилителей трафика»: на каждый отправленный запрос резолвер может отправить в сторону системы-жертвы до 1621 запроса. В пересчёте на трафик коэффициент усиления может достигать 163.

Проблема лежит в особенностях функционирования самого протокола и затрагивает все серверы DNS, поддерживающие рекурсивную обработку запросов:

• BIND (CVE-2020-8616, исправлено в 9.11.19, 9.14.2 и 9.16.3);
• Knot (CVE-2020-12667, исправлено в 5.1.1);
• PowerDNS (CVE-2020-10995, исправлено в 4.1.16, 4.2.2 и 4.3.1);
• Windows DNS Server;
• Unbound (CVE-2020-12662, исправлено в 1.10.1).

Угрозу могли представлять и публичные DNS-службы ICANN, Google, Cloudflare, Amazon, Oracle (DYN), Verisign и Quad9. Они, к счастью, уже избавились от этой проблемы. 

Основана атака NXNSAttack на использовании запросов, ссылающихся на фиктивные NS-записи, но без указания glue-записей с данными об IP-адресах. Если упоминаемый NS-сервер не встречался ранее, и его IP не указан, резолвер пытается определить адрес, запрашивая DNS-сервер жертвы, обслуживающий целевой домен (victim.com на приведённой диаграмме).

Атакующий способен выдать список не повторяющихся случайных NS-записей с несуществующими именами поддоменов для серверов. Резолвер будет безуспешно пытаться получить от них ответ и переберёт все перечисленные атакующей стороной записи, а от потока запросов, разумеется, пострадает DNS-сервер жертвы.

Интересно, что «степень усиления» различна для разных служб: для Google и OpenDNS это 30 раз и 32 раза соответственно. Не так уж много на фоне Norton ConnectSafe, у которого это целых 569 раз.

Исследователи предлагают и стратегии защиты. Для систем с DNSSEC это использование стандарта RFC-8198, не позволяющее обходить кеш DNS. Более простой способ заключается в ограничении числа имён, определяемых при обработке одного делегированного запроса.

Подробная информация содержится в опубликованном израильскими специалистами документе. Для защиты предлагается либо ограничить длину списка для обхода в рамках одного запроса, либо воспользоваться RFC-8198 при наличии DNSSEC.

Некоторые пользователи Интернета не могли во вторник получить доступ к сайтам и другим онлайн-сервисам на основе технологий Amazon Web Services из-за частичного простоя облачного сервиса. На сайте AWS было указано, что компания активно работает над решением проблемы.

Как сообщает ресурс The Register со ссылкой на партнёров Amazon, DNS-серверы AWS продолжительное время находились под DDoS-атакой, препятствующей полноценной работе облачных сервисов.

DNS-системы Amazon были загружены потоком поддельных пакетов, а некоторые запросы реальных пользователей непреднамеренно блокировались в рамках мер по устранению последствий DDoS-атаки. Это означает, что попытки веб-сайтов и приложений связаться с системами, размещёнными на серверах Amazon, такими как объектное хранилище Amazon S3, могли привести к сообщениям об ошибках или пустым страницам на сайтах, посещаемых пользователями.

Сбой в работе сервисов AWS начался во вторник около 09:00 ET (16:00 мск), и DNS-серверы AWS вчера вечером всё ещё находились под атакой. Такие атаки пагубно влияют не только на Amazon S3: хакерская атака может  препятствовать любым соединениям со службами Amazon, которые зависят от внешних DNS-запросов, такими как Amazon Relational Database Service (RDS), Simple Queue Service (SQS), CloudFront, Elastic Compute Cloud (EC2) и Elastic Load Balancing (ELB). Эти сервисы используются многочисленными сайтами и приложениями.

Информационные ресурсы Федеральной антимонопольной службы (ФАС России) подверглись массированной хакерской атаке. Об этом говорится в сообщении пресс-службы ведомства.

Согласно представленным ФАС России сведениям, атака была зафиксирована вечером 14 ноября. Злоумышленниками была произведена массовая рассылка сотрудникам ведомства электронных писем, содержащих перехватывающий служебные логины и пароли вирус. При этом отмечается масштаб инцидента: вредоносное приложение было распространено на ресурсы как центрального аппарата, так и территориальных органов Федеральной антимонопольной службы.

«Предположительно целью вредоносной программы и киберпреступников был доступ к содержанию ведомственной почты», — говорится в сообщении ФАС России.

По данным «РИА Новости», к расследованию хакерской атаки на информационные ресурсы ФАС России уже подключилась Федеральная служба безопасности Российской Федерации. Подчёркивается, что в результате инцидента утечки данных не произошло.

Материалы по теме:

• Искусственный интеллект Huawei поможет обеспечить сетевую безопасность;
• «Ростелеком» представил единую платформу сервисов кибербезопасности;
• Cisco Systems опубликовала отчёт по кибербезопасности среди предприятий малого и среднего бизнеса.

Источник:

• fas.gov.ru

Предприятия Taiwan Semiconductor Manufacturing Company (TSMC) подверглись атаке вредоносной программы, о чём сообщает Reuters.

Reuters

Крупнейший в мире контрактный производитель чипов признал, что вирусная атака затронула несколько заводов. При этом уровень проникновения вредоносного ПО везде разный.

В TSMC заявляют, что уже найден способ сдержать дальнейшее распространение вируса. Специалисты компании занимаются решением проблемы: некоторые предприятия уже вернулись к нормальной работе, на других восстановление штатного режима произойдёт в ближайшее время.

Что именно послужило источником заражения, не уточняется. Не ясно и то, насколько сильно пострадало производство полупроводниковой продукции. В TSMC лишь отмечают, что речь не идёт о хакерской атаке.

Добавим, что TSMC была основана в 1987 году. Компания производит продукцию по заказам Qualcomm, NVIDIA, Advanced Micro Devices (AMD), MediaTek, Marvell, Broadcom и пр. 

Компания Positive Technologies объявила о запуске облачного сервиса PT Application Firewall Cloud DDoS Protection, обеспечивающего защиту от распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS).

Новый сервис реализован в сотрудничестве со специалистами Qrator Labs, позволяет блокировать многовекторные атаки и противостоять ботам, моделирующим поведение пользователей. В основу решения положены технологии поведенческого анализа и алгоритмы машинного обучения, функционирующие в паре с брандмауэром и разработанной компанией Qrator Labs облачной инфраструктурой фильтрации DDoS. За счёт применения перекрёстных моделей выявления аномалий в действиях пользователей, PT Application Firewall Cloud DDoS Protection более эффективно защищает при комбинированных атаках (DDoS прикладного, сетевого уровня и взломах) и атаках, адаптированных к эвристическим механизмам противодействия.

«С развитием Интернета вещей DDoS-атаки получили второе дыхание, — говорит Максим Филиппов, директор по развитию бизнеса Positive Technologies в России. — Под ударом всё чаще оказывается критическая инфраструктура с жёсткими требованиями к доступности и конфиденциальности данных: сайты госуслуг, больниц, предприятий, ключевых банков, онлайн-магазинов. Помимо увеличения мощности атак, мы отмечаем резкий рост комбинированных DDoS-инцидентов, а нередко DDoS является "дымовой завесой" для проникновения в сеть организации. Все эти факторы требуют комплексного решения, объединяющего технологии по блокированию DDoS-атак на всех уровнях с защитой веб-ресурсов от взлома».

Сервис является расширением PT Application Firewall и, помимо блокирования DDoS-атак, обеспечивает автоматическую защиту приложений от атак, связанных с проникновением в корпоративную сеть, фродом, перехватом информации. PT Application Firewall соответствует требованиям российских регулирующих организаций и внесён в реестр отечественных программных продуктов.

Материалы по теме:

• Positive Technologies займется подготовкой специалистов по IT-безопасности в российских вузах;
• Эксперты: безопасность промышленных систем оставляет желать лучшего;
• Игра на опережение: обзор сканеров безопасности корпоративных IT-систем.

Источник:

• ptsecurity.ru

Телекоммуникационный оператор «Ростелеком» сообщил об успешном отражении массированных DDoS-атак на вычислительные площадки пяти крупных российских банков и финансовых организаций. Атаки были организованы злоумышленниками с помощью заражённой сети IoT-устройств (ботнета) и имели похожий почерк: тип — TCP SYN Flood. Пиковая мощность составляла 3,2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более двух часов. Все отражённые атаки были зафиксированы 5 декабря 2016 года.

Согласно приведённой пресс-службой компании информации, часть DDoS-трафика генерировалась с домашних маршрутизаторов пользователей, которые принято относить к IoT-устройствам. «Отличительной особенностью атак являлось то, что они были организованы с помощью устройств, поддерживающих протокол управления CWMP (TR-069). Несколько недель назад в реализации данного протокола на устройствах ряда производителей была выявлена серьёзная уязвимость, позволяющая киберпреступникам формировать ботнет с целью организации распределённых атак, направленных на отказ в обслуживании. В частности, в начале прошлой недели атаке на домашние устройства пользователей подвергся крупнейший немецкий оператор Deutsche Telecom, а также ирландский провайдер Eircom», — прокомментировал инцидент директор центра кибербезопасности «Ростелекома» Муслим Меджлумов.

По данным «Лаборатория Касперского», три четверти отечественных компаний (77 %) неоднократно подвергаются таким атакам в течение года, а более трети (37 %) сталкиваются с DDoS-угрозами четыре или больше раз. Продолжительность DDoS-атак в 40 % случаев составляет не более часа. В то же время в 13 % случаев такие нападения могут длиться до нескольких недель.

Чаще всего жертвами этого вида угроз в нашей стране становятся предприятия электронной коммерции, финансовые учреждения, государственные органы, а также средства массовой информации. Кроме того, зачастую с DDoS-атаками сталкиваются высокотехнологичные организации, в том числе участники телекоммуникационного сектора и компании, специализирующиеся на информационной безопасности.

Материалы по теме:

• Check Point представила решения для защиты от DDoS-атак;
• Trend Micro прогнозирует рост числа кибератак на IoT- и IIoT-устройства в 2017 году;
• Три четверти российских компаний неоднократно в течение года подвергаются DDoS-атакам.

Источник:

• rostelecom.ru

Российский мобильный оператор «МегаФон» сообщил об усилении защиты своих корпоративных клиентов от DDoS-атак. Компания расширила штат сотрудников технической поддержки, которые теперь смогут устранять кибернападения оперативно.

Прежде абоненты «МегаФона», пользующиеся услугой по противодействию DoS/DDoS-атакам, в случае их возникновения могли либо обратиться в техническую поддержку оператора, либо самостоятельно ликвидировать нападение в личном кабинете. Оба способа не отличались быстротой решения проблемы, которая бы позволяла клиентам работать в обычном режиме.

bloomberg.com

Теперь «МегаФон» увеличил количество высококвалифицированных инженеров в штате технической поддержки, которые ведут онлайн-мониторинг трафика на наличие DDoS-атак на сайты клиента. Сотрудник оператора самостоятельно реагирует на DDoS-атаки и без участия пользователя принимает решение о включении необходимых фильтров для её устранения. «МегаФон» обещает устранять отрицательное воздействие нападения за 15–25 минут в зависимости от мощности атаки и варианта оказания услуги.

digitaltrends.com

Для борьбы с DDoS-атаками «МегаФон» использует аппаратно-программную систему «Периметр» от компании «МФИ Софт». Это решение способно обнаруживать атаки на сети на скоростях 80 Гбит/с.

Активно обсуждаемая в IT-отрасли тема «Интернета вещей» (Internet of Things, IoT) продолжает оставаться в центре внимания специалистов по информационной безопасности, выражающих уверенность в том, что уже совсем скоро киберпреступники смогут создавать DDoS-ботнеты невиданной ранее мощности, состоящие из уязвимых IoT-устройств.

По мнению экспертов компании Qrator Labs, занимающейся исследовательской деятельностью в области защиты от DDoS-атак, распространение «Интернета вещей» несёт в себе масштабную угрозу: производители всевозможных подключённых устройств (чайники, ТВ, автомобили, мультиварки, весы, «умные» розетки и т.д.) далеко не всегда заботятся о должном уровне их защиты. Часто такие устройства используют старые версии популярных операционных систем (в частности, тот же Android), и разработчики не заботятся о регулярном их обновлении на новые версии, в которых устранены уязвимости. Как следствие, подключённые к глобальной сети IoT-устройства потенциально могут стать частью инфраструктуры злоумышленников и быть задействованы в DDoS-атаках.

Предвестники проблемы IoT уже прозвучали в 2015 году. В частности, специалистами Qrator Labs был обнаружен ботнет, построенный на сетевых маршрутизаторах, в которых не поменяли стандартные пароли. «Казалось бы, сетевое оборудование настраивается квалифицированными специалистами и в последнюю очередь должно оказаться под угрозой взлома. Но практика показывает обратное. Что уж говорить об уязвимостях пользовательских устройств. Мы прогнозируем, что очень скоро все смартфоны на старых версиях Android будут состоять как минимум в одном ботнете. За ними последуют все «умные» розетки, холодильники и прочая бытовая техника. Уже через пару лет нас ждут ботнеты из чайников, радионянь и мультиварок. «Интернет вещей» принесёт нам не только удобство и дополнительные возможности, но и много проблем. К этому следует готовиться уже сейчас», — уверен Александр Лямин, глава Qrator Labs.

В 2015 году эксперты Qrator Labs наблюдали множество атак с ботнетов, организованных на Android-устройствах. Число открытых злоумышленниками уязвимостей этой и других операционных систем будет расти, и вместе с этим — размеры ботнетов.

Материалы по теме:

• В 2015 году 17% российских компаний столкнулись с DDoS-атаками;
• «СТРИЖ Телематика» развернёт телематические сети во всех городах-миллионниках России;
• «Интернет вещей» окажет существенное влияние на бизнес-процессы промышленных предприятий.

Источник:

• qrator.net

Практически каждая шестая (17%) организация в России в минувшем году подвергалась распределённым сетевым атакам типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Об этом свидетельствуют результаты исследования, проведённого «Лабораторией Касперского» совместно с агентством B2B International.

Опросы специалистов, отвечающих за функционирование IT-инфраструктуры в предприятиях малого и среднего бизнеса, а также в крупных корпорациях, показали, что чаще всего — в 55% случаев — атакующие старались вывести из строя официальные веб-порталы организаций. Треть инцидентов (34%) затронула коммуникационные сервисы (прежде всего почтовые серверы), в 23% случаев под удар киберпреступников попадали сайты, предназначенные для клиентов компании, 18% атак были нацелены на файловые серверы, а ещё 12% — на сервисы для совершения финансовых операций. Наиболее часто с DDoS-атаками сталкивались компании среднего (20%) и крупного (17%) бизнеса. Малый бизнес также не остался без внимания: 12% организаций, принявших участие в опросе, с численностью персонала до 25 человек испытали на себе последствия DDoS-атак.

Проведённое исследование показало, что довольно часто DDoS-атаки осуществлялись одновременно с другими кибератаками, в которых использовалось вредоносное программное обеспечение, или же они служили прикрытием для кражи ценных данных. О подобных двойных инцидентах заявили 59% российских компаний, участвовавших в опросе «Лаборатории Касперского» и B2B International.

По прогнозам экспертов, в ближайшем будущем киберпреступники будут активно развивать новые и совершенствовать существующие методы проведения распределённых атак. Ожидается появление атак, организованных с помощью умных электронных гаджетов — так называемого «Интернета вещей», возможности которого позволят криминальным группам с минимальными усилиями разворачивать огромные бот-сети. Велика вероятность увеличения DDoS-атак напрямую с серверов, имеющих доступ к широким каналам связи и позволяющих киберпреступникам осуществлять мощные атаки, минуя этап формирования ботнетов.

Подробнее с результатами аналитического исследования «Лаборатории Касперского» можно ознакомиться на сайте kaspersky.ru.

Материалы по теме:

• "Лаборатория Касперского" разрабатывает безопасную ОС для промышленных объектов;
• Российский IT-рынок: факты и тенденции развития в корпоративном сегменте;
• "Лаборатория Касперского": 40% кибератак в России приводят к утечке корпоративных данных.

Источник:

• kaspersky.ru

Эксперты «Лаборатории Касперского» посредством сервиса Kaspersky DDoS Prevention зафиксировали волну продолжительных DDoS-атак на вычислительные площадки ряда крупных российских банков. Под прицел злоумышленников попали различные веб-ресурсы, в том числе системы онлайн-банкинга восьми известных финансовых организаций. Атаки производились в течение недели, мощность их в среднем составляла около 22 Гбит/с.

В опубликованном компанией информационном сообщении отмечается, что в текущем году эта серия атак стала первой масштабной DDoS-волной, направленной на отечественные финансовые учреждения. Примечательным является тот факт, что половина атакованных банков получила от киберпреступников сообщения с требованием заплатить выкуп за прекращение атак. При этом организаторы DDoS-атак просили не реальные деньги, а криптовалюту биткойн. Именно эта особенность позволила аналитикам «Лаборатории Касперского» предположить, что за атаками стоит уже ставшая известной группировка DD4BC, которая ранее в этом году атаковала банки и финансовые учреждения в других странах мира и также требовала выкуп в виртуальной валюте.

В антивирусной компании подчёркивают, что в последнее время DDoS-атаки стали одним из самых распространённых типов киберугроз, нацеленных на бизнес. Приостановка функционирования веб-ресурсов организации, как правило, влечёт за собой репутационные и финансовые потери, обусловленные недовольством клиентов и простоем ряда бизнес-операций.

«Успешная DDoS-атака может вывести из строя критически важные для бизнеса сервисы, что влечёт за собой серьёзные последствия для компании. Например, мы фиксируем случаи, когда атаки на банки приводили не только к нарушению работы онлайн-сервисов в течение нескольких дней, но и к перебоям в обслуживании банковских карт и нарушению работы банкоматов. Поэтому сегодня нужно рассматривать защиту от DDoS как неотъемлемый элемент общей информационной безопасности компании наравне с защитой от вредоносных программ, целевых атак и кражи данных», — считает Алексей Киселев, менеджер направления Kaspersky DDoS Prevention «Лаборатории Касперского».

Материалы по теме:

• Эксперты: малый бизнес недооценивает важность защиты от DDoS-атак;
• Финансовые потери от DDoS-атак обходятся бизнесу от 52 до 444 тысяч долларов;
• В 2015 году в Рунете возросло количество DDoS-атак.

Источник:

• kaspersky.ru