28 августа 2015

DDoS-атаки во втором квартале 2015 года: тенденции в развитии

Бизнес

Распределённые атаки отказа в обслуживании терроризируют различные объекты по всему миру в течение уже многих лет, и их интенсивность постоянно растет по мере того, как злоумышленники задействуют новые методы усиления. Однако новаторские подходы не ограничиваются лишь наращиванием мощности атак. «Лаборатория Касперского» опубликовала в Сети свой доклад об активности DDoS во втором квартале, из которого следует, что эта часть глобального ландшафта угроз является крайне нестабильной и постоянно развивается.

Главные тенденции

Во втором квартале 2015 года исследователи «Лаборатории Касперского» определили три основных направления развития данных угроз.

  • Изобретение и использование новых методов проведения более мощных атак без увеличения размеров ботнета;
  • Создание ботнетов из устройств, подключенных к интернету, и использование их для осуществления DDoS-атак;
  • Разработка DDoS-модулей для наборов вредоносных инструментов с целью проведения направленных атак.

Детальное исследование доступно на Securelist. Мы же, в свою очередь, сосредоточимся на двух моментах – ботнетах из устройств и DDoS-модулях в наборах вредоносных инструментов.

Концентрация маршрутизаторов

Целый ботнет из маршрутизаторов для дома и малого бизнеса был обнаружен экспертами по безопасности в начале этого года — его на самом деле использовали для запуска мощной DDoS-атаки.

Маршрутизаторы, особенно те, которые продаются населению и малому бизнесу, относятся к наиболее игнорируемым аппаратным средствам, несмотря на всю их важность. Как правило, их настраивают один раз и в дальнейшем, если не возникает чрезвычайная необходимость, обходят вниманием.

В то же время, как показывает практика, в их прошивках присутствует значительное число уязвимостей и недостатков конфигурации, и даже если производители выпускают обновления, исправления необязательно ставят сразу.

Это предоставляет преступникам широкие возможности для успешного злоупотребления данным видом оборудования.

Ботнет, целиком состоящий из маршрутизаторов, — это нечто новое, хотя это не первый случай атаки на маршрутизаторы и совсем уж не первый раз, когда элементами ботнет становятся не ПК, а компьютеризированные устройства. Спамящий холодильник все ещё кажется своеобразным курьёзом, но если производители подключённой к интернету бытовой техники не начнут изначально подходить к её разработке с учётом вопросов безопасности, подобные проявления будут встречаться всё чаще и чаще.

И есть большие сомнения в том, что компании захотят, чтобы кофе-машины шпионили в их конференц-залах.

Но мы говорили о DDoS

Действительно. Не бывает DDoS без платформы атаки, которая, как правило, состоит из (большого) ряда устройств под контролем злоумышленников, и устройства эти просто не окажутся под контролем преступников, если они защищены.

В большинстве случаев (и в конкретном тоже), корень проблемы заключается в том, что владельцы устройств сохраняют заводские пары логина и пароля, отчего маршрутизатор становится лёгкой добычей.

ddos_number

По какой-то причине DDoS-атаки резко выросли в начале мая (график Securelist.com)

А что такого важного в DDoS-модулях?

Ранее уже встречалась функциональность DDoS, добавленная к вредоносной программе, имеющей, по существу, другое основное назначение.

На этот раз, однако, DDoS-модуль обнаружили в весьма неожиданном месте: в наборе инструментов, используемых APT-группой, прозванной Animal Farm. Они добавили троян Nbot, предназначенный для организации ботнета и проведения DDoS-атак. NBot поддерживает большое количество сценариев распределенных атак, и это свидетельство того, что ботнет организован киберпреступниками для осуществления масштабных DDoS-атак. Скорее всего, это задумано как дымовая завеса или отвлекающий манёвр для прикрытия другой активности.

NBot – всего лишь один из троянов в наборе инструментов Animal Farm. Неясно, использовали ли его операторы Animal Farm на самом деле для проведения DDoS-атаки, на насколько нам известно, такое возможно.

Бронированный зонтик от бед

Ранее уже сообщалось, что менее 40% компаний предприняли сколько-нибудь последовательные усилия для защиты от DDoS-атак. В течение какого-то времени считалось, что иметь подобную ​​защиту нельзя либо слишком дорого, так как после устрашающих пиковых нагрузок в 100-400 Гбит/с могло сложиться впечатление, что противопоставить таким лавинам мусорных данных просто-напросто нечего.

Но на самом деле защита есть — в виде Kaspersky DDoS Protection, решения, разработанного специально для защиты и сокращения издержек компаний от ущерба, понесённого вследствие DDoS-атак. Kaspersky DDoS Protection сочетает в себе компетентность «Лаборатории Касперского» с такой оригинальной технологией, как DDoS Intelligence. Эта система анализирует информацию, передаваемую с контрольных серверов ботнетам, и направлена ​​на усиление защиты от DDoS-атак.

Подробнее о принципах работы Kaspersky DDoS Prevention, пожалуйста, читайте здесь.

Подробный отчёт о DDoS-атаках во втором квартале 2015 года доступен на Securelist.