DDoS-атаки
Распределённые атаки отказа в обслуживании терроризируют различные объекты по всему миру в течение уже многих лет, и их интенсивность постоянно растет по мере того, как злоумышленники задействуют новые методы усиления. Однако новаторские подходы не ограничиваются лишь наращиванием мощности атак. «Лаборатория Касперского» опубликовала в Сети свой доклад об активности DDoS во втором квартале, из которого следует, что эта часть глобального ландшафта угроз является крайне нестабильной и постоянно развивается.
#DDoS-атаки во втором квартале 2015 года: тенденции в развитии.
Tweet
Главные тенденции
Во втором квартале 2015 года исследователи «Лаборатории Касперского» определили три основных направления развития данных угроз.
- Изобретение и использование новых методов проведения более мощных атак без увеличения размеров ботнета;
- Создание ботнетов из устройств, подключенных к интернету, и использование их для осуществления DDoS-атак;
- Разработка DDoS-модулей для наборов вредоносных инструментов с целью проведения направленных атак.
Детальное исследование доступно на Securelist. Мы же, в свою очередь, сосредоточимся на двух моментах – ботнетах из устройств и DDoS-модулях в наборах вредоносных инструментов.
Концентрация маршрутизаторов
Целый ботнет из маршрутизаторов для дома и малого бизнеса был обнаружен экспертами по безопасности в начале этого года — его на самом деле использовали для запуска мощной DDoS-атаки.
Маршрутизаторы, особенно те, которые продаются населению и малому бизнесу, относятся к наиболее игнорируемым аппаратным средствам, несмотря на всю их важность. Как правило, их настраивают один раз и в дальнейшем, если не возникает чрезвычайная необходимость, обходят вниманием.
В то же время, как показывает практика, в их прошивках присутствует значительное число уязвимостей и недостатков конфигурации, и даже если производители выпускают обновления, исправления необязательно ставят сразу.
Это предоставляет преступникам широкие возможности для успешного злоупотребления данным видом оборудования.
Ботнет, целиком состоящий из маршрутизаторов, — это нечто новое, хотя это не первый случай атаки на маршрутизаторы и совсем уж не первый раз, когда элементами ботнет становятся не ПК, а компьютеризированные устройства. Спамящий холодильник все ещё кажется своеобразным курьёзом, но если производители подключённой к интернету бытовой техники не начнут изначально подходить к её разработке с учётом вопросов безопасности, подобные проявления будут встречаться всё чаще и чаще.
И есть большие сомнения в том, что компании захотят, чтобы кофе-машины шпионили в их конференц-залах.
Но мы говорили о DDoS…
Действительно. Не бывает DDoS без платформы атаки, которая, как правило, состоит из (большого) ряда устройств под контролем злоумышленников, и устройства эти просто не окажутся под контролем преступников, если они защищены.
В большинстве случаев (и в конкретном тоже), корень проблемы заключается в том, что владельцы устройств сохраняют заводские пары логина и пароля, отчего маршрутизатор становится лёгкой добычей.
По какой-то причине DDoS-атаки резко выросли в начале мая (график Securelist.com)
А что такого важного в DDoS-модулях?
Ранее уже встречалась функциональность DDoS, добавленная к вредоносной программе, имеющей, по существу, другое основное назначение.
На этот раз, однако, DDoS-модуль обнаружили в весьма неожиданном месте: в наборе инструментов, используемых APT-группой, прозванной Animal Farm. Они добавили троян Nbot, предназначенный для организации ботнета и проведения DDoS-атак. NBot поддерживает большое количество сценариев распределенных атак, и это свидетельство того, что ботнет организован киберпреступниками для осуществления масштабных DDoS-атак. Скорее всего, это задумано как дымовая завеса или отвлекающий манёвр для прикрытия другой активности.
NBot – всего лишь один из троянов в наборе инструментов Animal Farm. Неясно, использовали ли его операторы Animal Farm на самом деле для проведения DDoS-атаки, на насколько нам известно, такое возможно.
Бронированный зонтик от бед
Ранее уже сообщалось, что менее 40% компаний предприняли сколько-нибудь последовательные усилия для защиты от DDoS-атак. В течение какого-то времени считалось, что иметь подобную защиту нельзя либо слишком дорого, так как после устрашающих пиковых нагрузок в 100-400 Гбит/с могло сложиться впечатление, что противопоставить таким лавинам мусорных данных просто-напросто нечего.
Но на самом деле защита есть — в виде Kaspersky DDoS Protection, решения, разработанного специально для защиты и сокращения издержек компаний от ущерба, понесённого вследствие DDoS-атак. Kaspersky DDoS Protection сочетает в себе компетентность «Лаборатории Касперского» с такой оригинальной технологией, как DDoS Intelligence. Эта система анализирует информацию, передаваемую с контрольных серверов ботнетам, и направлена на усиление защиты от DDoS-атак.
Подробнее о принципах работы Kaspersky DDoS Prevention, пожалуйста, читайте здесь.
Подробный отчёт о DDoS-атаках во втором квартале 2015 года доступен на Securelist.
Советы