Компания StormWall, специализирующаяся на разработке решений по защите от DDoS-атак, выявила серию сложных и высокоинтенсивных распределенных атак, направленных на российские компании из различных отраслей. По мнению специалистов StormWall, наблюдаемая волна представляет собой тревожную эволюцию тактик, мотивов и технического исполнения, указывающую на участие высококвалифицированных, вероятно, наемных злоумышленников, а не случайных хакерских групп.
20-23 июня эксперты StormWall зафиксировали новый устойчивый паттерн атак, сочетающий мощные UDP-флуды с эмуляцией на прикладном уровне. В одном из случаев провайдер успешно отразил атаку на компанию, пик которой достигал 2,56 Тбит/с с интенсивностью 1 млрд пакетов в секунду (1 Gpps). Хотя основным вектором был объемный UDP-флуд, указывающий на доступ к гигантскому глобальному ботнету, атака не ограничивалась грубым переполнением канала.
Аналитики StormWall выявили ряд ключевых особенностей необычных атак, которые захватили рынок. Прежде всего, это профессиональный подход. Злоумышленники демонстрируют поведение, характерное для наемных команд. Они изучают протоколы, адаптируются к средствам защиты в реальном времени и оперативно меняют тактику при обнаружении препятствий. Еще одной отличительной чертой является адаптивность и кастомизация. Атакующие способны изменять длину пакетов “на лету”, варьируя размеры для поиска уязвимостей в сетевом оборудовании жертвы. После того, как StormWall блокировал их мониторинговые проверки, злоумышленники переформатировали тактику и перестали реагировать на блокировки, продолжая атаки.
Кроме того, важной особенностью данных атак является эмуляция легитимного трафика. Помимо грубого UDP-флуда, атакующие успешно имитируют полноценные TCP-подключения, выдавая себя за легитимных пользователей и браузеры. Были отмечены случаи эмуляции UDP-трафика на уровне до 6-10 Гбит/с, что свидетельствует о попытках обойти поведенческие фильтры и системы глубокого анализа. Наконец, еще одной значительной особенностью является мощнейшая нагрузка. Пиковая нагрузка в 2,56 Тбит/с подтверждает наличие у злоумышленников доступа к сверхмощным ботнетам или технологиям усиления (амплификации), способным вывести из строя большинство операторов связи и дата-центров.
Особую тревогу экспертов StormWall вызывает тактическая аномалия в ходе атак. Злоумышленники не выдвигали требований заплатить выкуп. В данном случае атаки носят хаотичный характер — под удар попадают игровые проекты, хостинг-провайдеры, телеком-операторы и корпоративные сети множества других компаний.
“Мы столкнулись с целенаправленным стресс-тестированием инфраструктуры. Отсутствие требований выкупа и хаотичность целей позволяют предположить, что это не классическое вымогательство или целевые атаки хактивистов, а “обкатка” нового поколения ботнета или новых DDoS-инструментов перед крупной атакой. Противник учится на наших действиях: они изменили тактику после блокировки их мониторингов, расширили географию и совершенствуют эмуляцию”, — отметил Рамиль Хантимиров, CEO и сооснователь StormWall.
По данным StormWall, ранее источники атак были преимущественно сосредоточены в Бразилии и Индии. В ходе текущей волны неординарных DDoS-атак география источников существенно расширилась. Среди источников атак были выявлены такие страны, как Россия, Бразилия, США, Ирак, Азербайджан, Индия, Германия, Мексика, Нидерланды, Казахстан и другие страны. Это подтверждает распределенный характер ботнета, охватывающего все континенты. Эксперты считают, что ботнет может состоять из разнородных устройств — от IoT-камер до серверов и маршрутизаторов провайдеров.
Аналитики StormWall предупреждают российские компании, что текущие атаки — лишь вершина айсберга. Основная опасность заключается в том, что “наигравшись” с эмуляцией трафика, злоумышленники могут довести ее до совершенства, сделав атаки неотличимыми от реального пользовательского трафика.
“Мы рекомендуем компаниям обращаться к поставщикам специализированных решений, чтобы обеспечить надежную защиту своих ресурсов от любых современных DDoS-атак. Со своей стороны мы продолжаем следить за эволюцией нового ботнета и будем информировать бизнес-сообщество обо всех новых изменениях, связанных с ним ”, — подчеркнул Рамиль Хантимиров, CEO и сооснователь StormWall.
Источник: StormWall
