Как хактивисты уже полтора года пытаются «положить» российский бизнес и госсектор

Артём Избаенков
Директор по развитию направления кибербезопасности EdgeЦентр

С марта 2022 года российский бизнес и госсектор столкнулся с небывалым ростом DDoS-атак. И их число продолжает увеличиваться. Во втором квартале 2023 года количество ИБ-инцидентов выросло почти в 2 раза. Большая часть этих атак организуется хактивистами — политически мотивированными хакерами, которые атакуют не с целью финансовой выгоды, а по своим убеждениям.

Как политические хакеры уже полтора года атакуют российские компании, как за это время менялась их тактика, и к чему стоит готовиться сейчас? Обо всем подробно — в этой статье.

2022 год: как спецоперация изменила характер кибератак

До 24 февраля 2022 года доля хактивистов в общем числе кибератак была небольшой. А основными жертвами становились, в основном, СМИ. В качестве довольно типичного примера можно привести хакерску группу Анонимус. На их счету довольно много взломов госудаственных сайтов и СМИ. А в 2022 году на своих ресурсах они объявили кибервойну российскому правительству и федеральным СМИ.

С конца февраля доля политически мотивированных атак выросла в разы. При этом если ранее под угрозой были, в основном, СМИ, то с марта 2022 года под прицел попала, фактически, вся IT-инфраструктура России, включая КИИ. В «топе жертв» злоумышленников СМИ и государственные компании, ожидаемо, заняли первые места. Но массивным DDoS-атакам также подверглись банки, аэропорты, университеты, нефтегазовая отрасль, операторы связи и даже развлекательные сервисы. Волна атак охватила практически весь российский бизнес, и при этом целью злоумышленников была не выгода, а именно выведение из строя всей инфраструктуры и бизнес-процессов, что ведёт и к колоссальным финансовым убыткам, и к репутационным рискам, и другим серьёзным последствиям.

Характер кибератак в России

Наверняка многие помнят очень громкую атаку на Rutube. Сервис оставался недоступен в течение нескольких суток.

Не менее масштабной была атака на страховые компании в мае 2022 года. Так называемая IT-армия Украины атаковала сразу несколько довольно крупных российских страховщиков. В числе целей оказались сайты Росгосстраха, Ингосстраха, Тинькофф Страхования и множество других. Атака продолжалась несколько дней. Некоторые страховые сервисы остались доступны, но работали с перебоями. Но часть ресурсов хакерам всё-таки удалось «положить».

Для подобных атак хактивисты использовали довольно широкий набор инструментов. Самым популярным софтом был DRipper.py, MHDDoS, DDoZ-em, Bombardier и KarboDuck. Всё это — опенсорс-программы для проведения DDoS-атак, которые обновляются и поддерживаются политическими хакерами.

Если говорить о типах атак, то самыми популярными были атаки на транспортном уровне (L4 по модели OSI), разные виды HTTP-флуда (ресурсы перегружались HTTP-запросам) и SlowLoris (тип атаки, при которой вредоносные боты устанавливают сессии и держат их открытыми, расходуя ресурсы сервера). Под угрозой находилась и инфраструктура, и веб-ресурсы компаний.

Как изменилась тактика хактивистов в конце 2022 и начале 2023 года

В конце 2022 и начале 2023 года был небольшой спад активности политических атак. Это было связано с тем, что многие атаки перестали проводить к желаемым результатам. Хакерам не удавалось полностью «положить» инфраструктуру, атаки не вызывали большой огласки. Это следствие того, что многие компании укрепили свою защиту, особенно в центральном регионе.Тем не менее, атаки, пусть и в меньшем масштабе, продолжались. Хакеры из ценрального региона переключились на менее защищённые региональные организации. И под угрозой было довольно большое количество сфер бизнеса.

Главными целями по-прежнему оставались СМИ и государственные организации. Но вместе с этим массовым атакам начали подвергаться региональные аэропорты.

Кроме этого, список популярных целей пополнили инвестиционные компании, онлайн-ритейлеры, парковки, грузоперевозчики, агрегаторы авиабилетов.

Пожалуй, самый большой шквал атак в этот период обрушился на банки. В марте 2023 года число атак на финансовые организации выросло на 126% по сравнению с мартом 2022 года, и на 60% — по сравнению с февралём 2023 года. Большой массивностью атаки не отличались и длились максимум 2 суток, но их было достаточно много, для того чтобы нарушить работу многих крупных организаций.

Ещё одной примечательной тенденцией стало смещение внимания на средний бизнес. Если в 2022 году основными целями хактивистов были, в основном, только крупные компании, то в начале 2023 в топ самых атакуемых компаний попали, например, средне региональные ритейлеры и продуктовые магазины. Кроме этого, среди популярных целей оказались и совсем неожиданные сервисы, таки как онлайн-переводчики и биржи фрилансеров.

В апреле 2023 года EdgeЦентр отразил мощнейшую атаку на игровые сервисы. Её мощность превышала 1,1 Тбит/с, а длилась атака больше 8 дней.

Список инструментов, которые хакеры использовали для DDoS-атак, сузился до 2 основных программ: MHDDoS и db1000n. Именно их хактивисты в основном используют до сих пор.

В плане типов по-прежнему остались популярны атаки на транспортный уровень и HTTP-флуд. Количество атак типа SlowLoris сильно снизилось. Вместо них хактивисты стали более активно атаковать DNS. Эта тенденция сохраняется и сейчас.

Как хактивисты действуют сейчас

Во втором и третьем квартале 2023 года мы опять наблюдаем большой рост числа DDoS-атак. В частности, значительно увеличилось количество атак на IT-компании и операторов связи. С бирж фриланса и парковок хактивисты переключились на электросети и сервисы прогнозов погоды.

Интересно, что в деятельности политических хакеров прослеживается определённая сезонность. Например, этим летом активно атакуют сайты университетов. Особенно много атак было в период работы приёмных комиссий, чтобы помешать студентам поступать в вузы. Во втором квартале 2023 года был рост атак на бухгалтерские сервисы, как раз в период сдачи отчётности. В сезон отпусков активно атаковали Автодор, чтобы создать препятствия при проезде по платным дорогам на юг.

Сохранилась тенденция к смещению атак в регионы. Массовым атакам часто подвергаются региональные государственные сервисы. Например, в конце июня в Пермском крае несколько часов был полностью недоступен портал для записи к врачу. Работу ресурса довольно быстро восстановили, но в течение дня он работал с перебоями.

Достаточно громкой была атака на РЖД в июле этого года. Атака шла на транспортном уровне и уровне приложений (L4 и L7 по модели OSI). Пострадали от неё и сайт, и мобильное приложение.

Типы атак и инструменты, в основном, остались те же. Но мы наблюдаем рост мощности и длительности. Сейчас хактивисты используют ресурсы облачных провайдеров по всему миру, в том числе и в РФ, что позволяет задействовать колоссальные вычислительные мощности. За счёт этого сама атака бьёт все рекорды, доходит до нескольких терабит в секунду. А заблокировать её сложно из-за геораспределённости.

Выводы: к чему готовиться бизнесу

Как видите, жертвами хактивистов оказываются компании из самых разных отраслей. При этом политические хакеры довольно часто переключаются с одного типа бизнеса на другой. Но до сих пор многие компании часто не задумываются о том, что им нужна надёжная защита и рассчитывают, что их это не коснётся. Мы в EdgeЦентр хорошо знаем это по опыту общения с нашими клиентами — среди них есть те, кто подключил защиту уже после того, как был атакован. В таких случаях, даже если атака была быстро остановлена, компания всё равно несёт убытки.

Жертвами атак сейчас могут стать даже очень неожиданные ресурсы вроде онлайн-переводчиков. И под угрозой не только крупные компании из столицы, но и небольшой региональный бизнес.

Всё это говорит о том, что позаботиться о безопасности сейчас должен каждый. Какая индустрия окажется под угрозой в ближайшее время, предсказать очень сложно. Однако особенно мы рекомендуем обеспечить защиту региональным компаниям, так как внимание хактивистов к ним только крепнет.

Рост кибератак не ослабевает, и в будущем их станет ещё больше. Такая ситуация требует комплексного, взвешенного подхода к защите. Очень важно обезопасить и инфраструктуру, и веб-ресурсы, чтобы не оставлять хакерам лазеек.