Глеб Хохлов, МИТИГАТОР: Сегодняшний хактивист действует по инструкции, не погружаясь в детали

Мы продолжаем общаться с экспертами на одну из самых актуальных тем 2022 года — DDoS-атаки. Глеб Хохлов, создатель on-premise-решения для защиты от DDoS-атак «МИТИГАТОР», рассказал, почему нынешние злоумышленники не гонятся за рекордными мощностями и какие технологии помогут компаниям выстроить оборону.

Cyber Media: Какие сейчас цели преследуют организаторы DDoS-атак на российские компании?

Глеб Хохлов: Сразу оговорюсь, что мы видим картину со стороны нашего продукта «МИТИГАТОР», которым пользуются, прежде всего, банки и операторы связи. То есть, к нам приходят данные из энтерпрайза и телекома, а с массовым вебом мы почти не работаем.

Основные цели DDoS-атаки, которые мы можем выделить среди наших заказчиков в этом году, — связаны с СВО. Либо вывести ресурс из строя, либо сделать его недоступным по политическим мотивам. Хактивисты стараются атаковать финансовые организации и значимые государственные ресурсы, но вообще бьют по всему, до чего могут дотянуться.

При этом остались и заказные атаки на конкурентов, и «хулиганство», и вымогатели, которые атакуют различные интернет-сервисы и требуют выкуп.

Cyber Media: Какие инциденты за последнее время вы могли бы выделить?

Глеб Хохлов: Всегда заметно, когда так называемая «ИТ-армия» Украины объявляет, например, День финансового сектора, и начинает атаку на все российские банки, по которым злоумышленники смогли собрать информацию. Бывает еще День страховщиков или День медиа. Такие атаки производятся силами добровольцев, имеют разную степень успешности, но иногда все-таки вызывают сложности.

Cyber Media: Как это выглядит технически? Что-то вроде давно известной «низкоорбитальной ионной пушки»?

Глеб Хохлов: Инструментария много, но чаще всего активисты по инструкции устанавливают Docker и запускают docker-контейнер с атакующим ПО. Перед стартом контейнера автоматически скачивается актуальная версия docker-образа. Запускают либо у себя на сервере, локально используя список прокси-серверов, либо арендуют VPS в разных странах — в том числе, и в России — и также начинают атаку. Есть варианты, где надо указывать список целей, есть такие приложения, которые самостоятельно его загружают с Github или других ресурсов.

То есть близко к «орбитальной пушке», только инструментарий усовершенствован.

Cyber Media: Есть ли какие-то действия со стороны Github? Ведь софт явно вредоносный.

Глеб Хохлов: Почему же? Это инструмент нагрузочного и стресс-тестирования. Некоторые такие приложения с февраля начали очень активно развиваться. То же самое, что с инструментами для пентеста — все ли их можно называть вредоносными?

Cyber Media: Получается, что сегодняшний DDoS-злоумышленник — это политический хактивист?

Глеб Хохлов: Да, причем работающий по инструкции и без погружения в детали. Модно сейчас атаковать, чтобы показать свой протест — это они и делают. С февраля количество активистов уменьшилось, однако их атаки стали более продвинутыми. Некоторые из них наигрались, сейчас остались самые мотивированные. Они оптимизировали свои инструменты, написали инструкции, в целом улучшили внутренние процессы.

Также можно отметить, что весной атаки были проще, в том числе потому, что атакующие не умели правильно пользоваться инструментарием. Сейчас люди придумывают необычные сочетания техник, заходят с нескольких векторов, изобретают хитрые методы амплификации (усиление первоначального сигнала для создания запредельной нагрузки на цель атаки — прим.ред.), а не просто создают HTTP/HTTPS/TCP-флуд.

Это не новые подходы, просто атакующие начали лучше готовиться, собирать цели, проводить разведку, координировать ресурсы. И атакуют множественными инструментами по одной цели, и по множеству портов в один момент времени. Например, до атаки они сканируют открытые порты, иногда определяют типы сервисов на этих портах, иногда — нет. И потом начинают «бить» скоординированно, и не обязательно используют обычный HTTP-флуд, а, например, атакуют сервис регистрации, чтобы массово разослать SMS c подтверждениями. В результате компания получает от SMS-провайдера счет за миллион сообщений. К тому же, реальные пользователи не могут нормально регистрироваться из-за этой атаки.

И отмечу, что если организация подготовлена к DDoS-атакам, то эти кибератаки неэффективны. Все успешные атаки, которые начались с февраля, стали таковыми потому, что со стороны жертвы либо не было процессов реагирования, либо не были настроены системы защиты. Под атаку попали компании, которые до этого никогда с ними не сталкивались. Некоторые администраторы даже не знали, что у них есть те сервисы, которые «упали» под нагрузкой.

Сейчас большая часть компаний уже закрыла основные бреши в защите, они улучшили ИБ-процессы и могут постоянно их отлаживать на постоянных тренировках.

Cyber Media: Можно ли сказать, что злоумышленники перестали гнаться за рекордными мощностями и предпочитают «прикладывать голову»? Несколько лет назад был целый ряд последовательных рекордов, сейчас таких новостей как будто становится меньше.

Глеб Хохлов: Не совсем так. Те атаки, которые были тогда — это, во-первых, истории про бизнес, а во-вторых, они построены на амплификации. Отсюда и терабитные мощности. Организаторы стремились показать, какие у них есть ботнеты, чтобы потом продавать DDoS-атаки. Держать инфраструктуру для таких акций стоит определенных денег. Плюс, для амплификации нужно уметь подменять IP-адрес отправителя, сейчас сложнее найти место, откуда это можно сделать. Арендовать VPS гораздо проще.

Сегодня мы имеем дело с активистами, которые атакуют прикладные сервисы, а инструментарий запускают на чем получится, в том числе на домашних компьютерах. В феврале-марте были истории, когда и граждане России запускали у себя ПО и атаковали наши компании — такая форма протеста.

И если с амплификацией операторы связи научились справляться, то с прикладными системами ситуация сложнее. Это может быть главная страница сайта или страница логина в интернет-банке.

Cyber Media: Расскажите, как при этом эволюционирует подход к защите?

Глеб Хохлов: Здесь вопрос в изменении самого подхода к защите. DDoS-атаки — это атаки, нацеленные на исчерпание ресурсов. Исчерпать при этом можно разные ресурсы: от процессорного времени и интернет-каналов до бюджета и остатка на счете. Атак много, они разные, поэтому и методы защиты нужны разные — для разных участков сети. Что-то эффективно фильтровать на уровне оператора связи, а что-то — на самом сервере приложений или на других промежуточных сегментах сети.

Поэтому сейчас правильно выстраивать эшелонированную защиту, в зарубежных источниках ее еще часто называют гибридной. Она построена на комплексе разных систем    , каждая из которых имеет свою специфику. Каждый эшелон подавляет определенную часть атаки, и при этом между эшелонами есть обратная связь.