Group IB

Хакеры научились использовать видеоняни для обхода защиты от DDoS атак по геолокации

24.05.2022
Хакеры научились использовать видеоняни для обхода защиты от DDoS атак по геолокации

Хакеры начали искать способы обхода фильтрации трафика для совершения DDoS-атак на Россию. Для этого они все чаще используют VPN, прокси-сервисы и пользовательские устройства с российскими IP-адресами.

Киберпреступники ищут новые векторы атак на росссийские информресурсы. В условиях, когда основные каналы оказались заблокированы (зарубежный трафик отсекается оборудованием операторов на границе страны), хакеры начали использовать российские IP-адреса.

С 24 февраля, с момента начала спецоперации на Украине, российские информационные ресурсы и правительственные сайты столкнулись с ростом DDoS атак. В Минцифры РФ указывали, что вредоносные запросы поступали из-за рубежа — в основном с IP-адресов, зарегистрированных в США, Германии и на Украине. Чтобы противодействовать угрозе, в конце марта Минцифры и Роскомнадзор начали использовать оборудование на сетях связи для фильтрации трафика по географическому признаку на границах России.

По данным издания «Коммерсантъ», чтобы обойти фильтрацию трафика для совершения DDoS-атак на Россию, хакеры стали использовать VPN и Proxy-сервисы, а также пользовательские устройства.

«Коммерсантъ» пишет, что уже с марта Минцифры совместно с Роскомнадзором начали использовать это оборудование для фильтрации трафика по географическому признаку на границах России. С 24 февраля Россия столкнулась с волной кибератак на госсектор и бизнес. По данным «Лаборатории Касперского», компания в конце февраля отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период 2021 года.

Очень быстрым и действенным при борьбе с DDoS-атаками оказался механизм блокировки по географическому обращению. Метод оказался действенным, однако теперь хакеры начали использовать в своих атаках российские IP-адреса, что делает фильтрацию трафика по геолокации неэффективной, рассказали опрошенные "Коммерсантом" эксперты в области кибербезопасности.

Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие зараженные устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных зараженных умных устройств или просто персональных компьютеров.

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.

Основатель Qrator Labs Александр Лямин добавляет: «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна».

В последнее время злоумышленники все чаще прибегают к VPN- и прокси-сервисам, а также задействуют пользовательские устройства (такие как роутеры, "умные" камеры, видеоняни), находящиеся на территории РФ. Эти приборы объединяются в ботнеты ("зомби"-сети, состоящие из зараженных устройств), которые впоследствии используются для организации кибератак.

В апреле стало известно, что Роскомнадзор планирует модернизировать оборудование , используемое для исполнения закона об изоляции Рунета, и создать на его основе федеральную систему защиты от DDoS-атак из-за рубежа. Система защиты от DDoS-атак может появиться осенью 2022 года.

Напомним, что ранее Компания A10 Networks за 2 полугодия 2021 года отследила более 15,4 миллиона распределенных атак типа "отказ в обслуживании" (DDoS).