Компания Qrator Labs, которая специализируеться на обеспечении доступности интернет-ресурсов, обнародовала статистику DDoS-атак и BGP-инцидентов в первом квартале 2022 года. В этот период был зафиксирован рекордный инцидент, в котором оказалось задействовано 901 600 устройств. Основу атак составили нападения хактивистов, выражающих свой социальный протест посредством организации кибератак и при этом не ищущих финансовой или иной выгоды. По данным компании количество DDoS-атак с полосой до 10 Гб/с выросло на 19,09%, по сравнению с четвертым кварталом 2021 года. Тогда как число высокоскоростных нападений более 100 Гб/с уменьшилось на 6,32%.
Перехват трафика
8 марта был зафиксирован массовый перехват трафика (BGP Hijack) для автономных систем, принадлежащих российским операторам. В киберпространстве именно автономные системы являются территориальными единицами — их номера закрепляются за определенными провайдерами, которые организуют внутри собственные правила маршрутизации. Однако посторонний провайдер может объявить, что знает маршрут до нужной автономной системы, и тем самым перехватить трафик. Такой вид блокировки возможен в случае нелегитимного анонсирования оператором автономных систем, которые ему не принадлежат. Приходящий же для фиктивно анонсированных автономных систем трафик просто сбрасывался оператором, что и не позволяло пользователям Интернет получить доступ к соответствующим ресурсам операторов-жертв.
В ходе подобного захвата, который состоялся 8 марта, было зарегистрировано 3912 конфликтов с легитимными сетями. Атаку провел украинский провайдер Lurenet, который с помощью поделки BGP-анонсов перетянул на себя трафик многих сетей, принадлежащих в первую очередь российским провайдерам, таким как «Ростелеком», «Мегафон», «Билайн», МТС, ТрансТелеком. Всего проблемы с маршрутизацией испытали 146 автономных систем по всему миру. В результате чего пользователи из разных стран не могли получить доступ к сетям этих операторов. Перехват трафика был особенно заметен для пользователей из России, Гонконга, Индонезии, США. Данный инцидент общей длительностью более 10 часов представлял собой умышленную организацию блокировки российских ресурсов.
Для защиты от подобного вида инцидентов разработан и активно внедряется механизм RPKI-валидации, основанный на использовании современных криптографических методов. В данном инциденте сети были недоступны, поскольку не все автономные системы используют RPKI-валидацию для предотвращения перехватов трафика. В России только 18,1% автономных систем полностью внедрили RPKI-валидацию, а 26,5% только начали разворачивать механизмы защиты. Однако и мировые показатели так же не столь высоки: полное внедрение – у 24,1%, а 33,8% находятся в процессе реализации.
Шифрованные атаки
Следует отметить, что хактивисты в большинстве случаев использовали атаки уровня приложения — большая доля техник, использующихся для подобных атак, приходится на Request Rate Patterns и Broken HTTP Semantics (25,9% и 35,13% соответственно), что характерно для инструментария, популярного у хактивистов — LOIC/MHDDoS . Однако для очистки такого трафика требуется большое число вычислительных мощностей, поэтому этот класс атак является наиболее сложным в обнаружении и фильтрации. Закономерно, он стал популярен у хактивистов, поскольку достаточно прост в применении. Тогда как, например, более изощренные атаки используют полноценную эмуляцию веб-браузера что усложняет выявление и фильтрацию таких атак. К сожалению, атаки подобного типа можно купировать только с помощью профессиональных распределенных сетей фильтрации.
