StormWall сообщила о DDoS-атаках на российские компании, реализованных с использованием самого мощного за всю историю интернета ботнета, который обеспечивает поток до 2 Тбит/с, что сравнимо с прошлогодним рекордом в 2,3 Тбит/с. Компания отметила, что большинство атак данного ботнета направлено на инфраструктуру игровой индустрии. Если точнее — на онлайн-игры. За атаками, предположительно, стоят конкуренты. Хотя атаки на игры сами по себе являются прибыльными, поскольку очень быстро могут нанести существенный ущерб.

Лаборатория Касперского

Новый ботнет состоит из 49 тыс. устройств. Необычность его в том, что он не включает клиентские и IoT-устройства. Напротив, речь идёт об использовании только серверов, которые заражены полноценным атакующим ПО, поэтому атаки могут быть самые разные. Пока что они ведутся по довольно стандартному сценарию с использование протоколов TCP/UDP, а также HTTP. Причём боты умеют эмулировать браузер и обходить базовые проверки, что затрудняет их отсеивание от обычных посетителей.

Ботнет пока не получил официального названия. Известно, что он создан в Испании, а его услугами можно воспользоваться по цене от $2500 за два дня. Хакеры используют его уже около месяца, ежедневно атакуя компании из России. Отмечается, что столь мощные атаки затрагивают не только саму жертву, но и всю цепь интернет-каналов до неё, вызывая проблемы с доступом в Сеть у сотен тысяч пользователей и онлайн-ресурсов одновременно. Поэтому новый ботнет намного опаснее предшественников.

Компания Qrator Labs объявила о заключении партнёрского соглашения с платформой Huawei Cloud Marketplace. В рамках договора клиентам в экосистеме Huawei доступно решение Qrator DDoS Protection — специализированный сервис защиты от DDoS-атак. Выбрав тарифный план, клиенты получат IP-адрес и доступ в личный кабинет Qrator Labs. После этого их веб-ресурсы становятся под защиту сети фильтрации Qrator Labs.

Отмечается, что Huawei Cloud предоставляет более 220 облачных сервисов и 210 решений. В число клиентов облачной инфраструктуры входят информационные агентства, платформы социальных сетей, правоохранительные органы, производители автомобилей, генетические лаборатории, финансовые учреждения и пр.

Изображение pixabay.com

В свою очередь, Qrator DDoS Protection — это гибкий облачный сервис фильтрации трафика, предназначенный для обнаружения и эффективного предотвращения атак, нацеленных на веб-инфраструктуру клиента на всех сетевых уровнях. Данная система использует алгоритмы на основе машинного обучения.

«Интеграция с Huawei Cloud позволит существующим клиентам Qrator Labs получить доступ к дополнительным сервисам и добавит основную услугу нейтрализации DDoS-атак в портфель сервисов партнёра, преимуществами которой смогут воспользоваться потенциальные клиенты», — говорится в сообщении.

Российская компания StormWall продолжает развивать бизнес на международном рынке: в июне текущего года она начала работать в Соединённых Штатах. Это 68-е иностранное государство, где компания начала оказывать услуги по защите онлайн-ресурсов.

StormWall специализируется на разработке средств защиты от DDoS-атак. На США, по оценкам, приходится около 30 % всех нападений данного типа. Поэтому выход на американский рынок открывает перед StormWall отличные перспективы по дальнейшему наращиванию продаж.

Здесь и ниже изображения pixabay.com

Клиентам в Соединённых Штатах StormWall предложит целый спектр высокотехнологичных продуктов, обеспечивающих надёжную защиту онлайн-сервисов от DDoS-атак любой сложности. Это, в частности, средства защиты сайтов, защиты сети с подключением по протоколу BGP и защиты сервисов TCP/UDP. Кроме того, будет предоставляться круглосуточная техническая поддержка.

«В последнее время значительно увеличилось количество кибератак на американские компании. Всё больше организаций стремятся подключить профессиональную защиту от DDoS-атак, чтобы обезопасить свои ресурсы. Мы искренне надеемся, что выход StormWall на рынок США поможет бизнесу успешно развиваться», — отмечает StormWall.

Nokia Deepfield объявила результаты глобального анализа DDoS-трафика, в ходе которого был изучен сетевой трафик поставщиков услуг с охватом тысяч интернет-маршрутизаторов в период с января 2020 года по май 2021 года. Отмечено увеличение за этот период времени суточного пикового трафика DDoS более чем на 100%. Кроме того, потенциал DDoS-атак превысил 10 Тбит/с. Это в четыре-пять раз больше, чем у крупнейших известных атак — всё из-за быстро растущего числа открытых и небезопасных интернет-сервисов и устройств Интернета вещей.

Анализ DDoS-трафика Nokia Deepfield основан на обширной выборке поставщиков услуг, начиная от компаний, предоставляющих глобальные транзитные и бытовые широкополосные услуги, и заканчивая региональными поставщиками, сетями доставки контента (CDN), веб-сетями и хостинговыми компаниями. В ходе анализа были изучены общие изменения в структуре интернет-трафика с особым акцентом на безопасность DDoS.

В результате анализа специалистам Nokia Deepfield удалось установить происхождение большинства высокоскоростных атак на ограниченное количество интернет-доменов. Обнаружено, что большинство глобальных DDoS-атак (по частоте и объёму трафика) исходят от менее чем 50 хостинговых компаний и региональных провайдеров. После введения в 2020 году локдауна из-за COVID, Nokia Deepfield отметила рост DDoS-трафика на 40–50%. Продолжающийся рост интенсивности, частоты и изощрённости DDoS-атак привёл к удвоение ежедневных пиков — с 1,5 Тбит/с (январь 2020 г.) до более 3 Тбит/с (май 2021 г.).

Рост популярности широкополосного доступа в интернет делает борьбу с DDoS-атаками критически важной. Крупномасштабные DDoS-атаки могут нанести серьёзный ущерб компаниям, оцениваемый в сотни тысяч или даже миллионы долларов производственных и операционных потерь. Точное обнаружение DDoS-атак и автоматическое устранение угроз становятся первостепенными требованиями для поставщиков услуг, облачных провайдеров и сетевых операторов для защиты своих сетевых инфраструктур, услуг и пользователей.

Команда Atlas Security Engineering & Response Team (ASERT), являющаяся подразделением Netscout, оценила интенсивность DDoS-атак в первом квартале текущего года. Полученные данные говорят о том, что ситуация в сфере кибербезопасности ухудшается.

В период с января по март включительно в глобальном масштабе было зарегистрировано приблизительно 2,9 млн DDoS-атак. Это на 31 % больше по сравнению с тем же периодом 2020-го. Иными словами, интенсивность хакерских нападений данного типа за год увеличилась практически на треть.

Здесь и ниже изображения pixabay.com

Ежемесячно в течение первого квартала специалисты фиксировали по всему миру более 900 тыс. DDoS-атак. Если злоумышленники сохранят нынешний уровень активности, число DDoS-нападений по итогам текущего года в целом превысит отметку в 10 млн.

Эксперты говорят, что столь высокая интенсивность атак нехарактерна для первых месяцев года. По всей видимости, наблюдающаяся картина объясняется изменившимся в условиях пандемии IT-ландшафтом.

В общей массе зарегистрированных DDoS-атак около 42 % продолжались от пяти до десяти минут. Ещё 19 % нападений длились менее пяти минут.

Отмечается также, что около 8400 атак были нацелены на организации, работающие в сфере здравоохранения, примерно 45 000 — на образовательные учреждения.

Специалисты StormWall прогнозируют, что в текущем году в России значительно ухудшится ситуация в плане проведения распределённых атак типа «отказ в обслуживании» (DDoS). Эксперты считают, что количество таких вредоносных кампаний возрастёт как минимум на 20 % по сравнению с прошлым годом при одновременном увеличении их мощности.

StormWall называет несколько основных причин, которые будут способствовать росту числа DDoS-атак. Одним из главных факторов послужит пандемия, из-за которой резко возросла востребованность платформ удалённой работы и дистанционного обучения.

Так, в текущем году ожидается рост количества начинающих киберпреступников среди студентов и школьников. В то же время повышение критичности интернет-сервисов и стремительное развитие онлайн-бизнеса будет способствовать росту востребованности DDoS-атак в среде злоумышленников и конкурентов.

Ещё одним фактором — тут речь, надо полагать, идёт скорее о глобальном рынке — названы сети 5G. «Используя эту технологию, можно будет запустить DDoS-атаку мощностью более 1 Гбит/с с каждого мобильного устройства. Если атакующий будет располагать десятками или сотнями тысяч заражённых смартфонов, планшетов и IoT-устройств, то объём атаки может достигать нескольких Тбит/с и отразить её будет невероятно сложно», — говорится в исследовании.

Способствовать увеличению интенсивности DDoS-атак также будут всевозможные боты, способные автоматически обходить распространённые методы защиты. Плюс к этому в организации атак злоумышленникам помогут новые инструменты.Всё это приведёт к совершенствованию защитных решений. В частности, прогнозируется внедрение передовых систем обеспечения безопасности на основе искусственного интеллекта.

Amazon заявила, что сервис AWS Shield отразил в середине февраля этого года самую крупную за всю историю DDoS-атаку с потоком 2,3 Тбит/с. В отчёте AWS Shield Threat Landscape подробно описываются веб-атаки, которые были отражены службой защиты Amazon AWS Shield. 

В нём не был указан целевой клиент AWS, но сообщается, что атака была осуществлена ​​с использованием взломанных веб-серверов CLDAP и из-за этого персонал AWS Shield провёл три дня в режиме «повышенной угрозы».

CLDAP (упрощённый протокол доступа к каталогам без подключения) является альтернативой старому протоколу LDAP и используется для подключения, поиска и изменения общих каталогов X.500. Оба протокола работают с портом 389, однако если LDAP работает с TCP, то CLDAP использует UDP. Хакеры применяют его для DDoS-атак с конца 2016 года. Использование CLDAP позволяет «усилить» трафик DDoS в 56–70 раз по сравнению с его первоначальным размером, что делает его востребованным протоколом и распространённой опцией, предоставляемой сервисами DDoS-for-hire.

Предыдущий рекорд самой большой из когда-либо зарегистрированных DDoS-атак составил 1,7 Тбит/с, её отразила система защиты NETSCOUT Arbor в марте 2018 года. Ему предшествовал рекорд в 1,3 Тбит/с, который был зафиксирован в феврале 2018 года в ходе DDoS-атаки на веб-сервис GitHub.  В настоящее время большинство DDoS-атак обычно достигает пиковых 500 Гбит/с, поэтому новость об атаке на AWS с потоком 2,3 Тбит/с стала неожиданностью для представителей отрасли.

Концепция Universal Plug and Play (UPnP) изначально имела благие намерения — унифицировать и автоматизировать настройку сетевых устройств, от домашних медиапроигрывателей до сетей малых предприятий. Но благими намерениями часто бывает вымощена дорога известно куда. Сложный набор протоколов и технологий не мог не иметь пробелов. Так, новая уязвимость CallStranger позволяет отправлять сетевой трафик произвольному получателю.

UPnP применяется во множестве бытовых и офисных устройств с доступом в сеть

UPnP — довольно удобная технология: устройство с поддержкой этой технологии присоединяется к сети, в динамическом режиме получает IP-адрес, сообщает о своих возможностях и опрашивает другие устройства на предмет их возможностей. В UPnP используются известные технологии: IP, TCP/UDP, HTTP и XML. Пример использования UPnP — автоматическое перенаправление портов, которое реализовано, например, в Skype и торрент-клиентах.

Однако бездумное включение UPnP везде может сделать вашу сеть привлекательной целью для злоумышленников. Как сообщает ресурс OpenNET, новая уязвимость CVE-2020-12695, получившая имя CallStranger, позволяет извлекать данные даже из защищённых сетей, сканировать порты компьютеров во внутренней сети, а также задействовать для DDoS-атак весь парк UPnP-устройств, от кабельных модемов и домашних маршрутизаторов до IP-камер и игровых консолей.

В поле CALLBACK можно подставить любой URL

В спецификациях UPnP предусмотрена функция SUBSCRIBE (подписка), она изначально предназначена для отслеживания изменений настроек различных устройств и сервисов в сети. Но она же позволяет и любому атакующему извне отправить HTTP-пакет с заголовком Callback, что даёт возможность применить UPnP-устройство в качестве прокси-узла. Этот узел может быть занят отправкой запросов на другие хосты.

Проблема этой части спецификаций UPnP в том, что функция SUBSCRIBE позволяет указать любой URL, с которым устройство попытается осуществить соединение. К сожалению, этой уязвимости подвержены все системы с UPnP, отвечающие спецификациям с датой выпуска до 17 апреля этого года. Подтверждено использование CallStranger в открытом пакете hostapd (для Wi-Fi), к нему доступен патч с исправлением.

В основе UPnP лежит XML

Но большая часть Linux-систем всё ещё уязвима, в список входят такие известные дистрибутивы, как RHEL, SUSE, Arch, Fedora, Ubuntu, Debian, а также «народная» прошивка для маршрутизаторов OpenWRT. Все устройства, в которых UPnP реализовано на основе открытого стека pupnp также под угрозой.

К сожалению, организация, ответственная за развитие UPnP, Open Connectivity Foundation (OCF) знала о наличии проблемы ещё в конце прошлого года, но отнеслась к ней небрежно, изначально не считая данную возможность уязвимостью. В настоящее время проблема признана, предписано использование UPnP только в сегменте LAN, но не WAN. Однако недоработка имеет фундаментальную природу; UPnP используется широко и для ряда старых устройств обновлений может попросту не появиться.

В качестве защитных мер рекомендуется изоляция UPnP-устройств от внешних запросов со стороны WAN, для этого нужно соответствующим образом настроить брандмауэр. Необходимо блокировать HTTP-запросы типа SUBSCRIBE и NOTIFY. В качестве крайней мере рекомендуется полное отключение UPnP. Провериться на наличие уязвимости можно с использованием специального инструментария. Полный отчёт об уязвимости доступен здесь.

Компания «Гарда технологии» сообщила о получении сертификата соответствия Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс защиты от DDoS-атак «Периметр».

Система «Периметр» позволяет обнаруживать большой спектр событий на устройствах сети, выявлять вредоносную активность на высоких скоростях и блокировать её с помощью современных эвристических и алгоритмических методов подавления атак.

Выданный ФСТЭК России сертификат удостоверяет, что «Периметр» является программным средством защиты информации, не содержащей сведений, составляющих государственную тайну, от воздействий, направленных на отказ в обслуживании информационных (автоматизированных) систем. Продукт соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню контроля.

Сертификат действителен до января 2025 года. Дополнительные сведения о программном решении можно найти на сайте gardatech.ru/produkty/perimetr.

DDoS-атаки являются доступным и эффективным инструментом, позволяющим преступникам частично или полностью блокировать работу веб-сервисов. Так, по данным «Ростелекома», только за прошедший год количество таких атак на российские компании увеличилось в два раза. По мнению экспертов, столь серьёзный рост числа распределённых атак, направленных на отказ в обслуживании, обусловлен их дешевизной и эффективностью. Эти два фактора будут способствовать кратному увеличению количества атак и в текущем году.

Чаще всего жертвами этого вида угроз в нашей стране становятся предприятия электронной коммерции, финансовые учреждения, государственные органы, а также средства массовой информации. Кроме того, зачастую с DDoS-атаками сталкиваются высокотехнологичные организации, в том числе участники телекоммуникационного сектора и компании, специализирующиеся на IT-безопасности.

В 2019 году количество распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), выросло примерно в 1,5 раза, при этом злоумышленники стали всё чаще прибегать к более сложным и совершенным методам организации таких атак. Об этом свидетельствует исследование компании Qrator Labs.

Согласно представленным аналитиками Qrator Labs сведениям, такое увеличение числа инцидентов было достигнуто за счёт роста атак на отдельные индустрии: банки, платёжные системы, криптобиржи, онлайн-ритейл, сайты знакомств.

Помимо смещения вектора DDoS-атак, киберпреступники стали улучшать свои технические навыки и практиковать новые методы атак. Так, злоумышленники стали всё чаще эксплуатировать уязвимые устройства Интернета вещей и атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд). Кроме того, в 2019 году был выявлен новый класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи.

Наиболее атакуемые индустрии (по данным исследования Qrator Labs)

По мнению экспертов, интенсивность DDoS-атак продолжит расти и в 2020 году: общее число нападений будет увеличиваться на фоне роста продолжительности, мощности и эффективности продуманных целенаправленных атак.

«Можно наблюдать, что в последний год наблюдался передел определенных рынков между отдельными его игроками. И если крупный бизнес может выдержать нападения, то для среднего бизнеса это большая проблема: у небольших компаний часто нет свободных финансовых ресурсов для использования внешних решений по защите на постоянной основе, поэтому они чаще других становятся жертвами DDoS-атак», — отметил технический директор Qrator Labs Артём Гавриченков.

С развёрнутой версией отчёта Qrator Labs можно ознакомиться на сайте qrator.net.