В первой половине декабря специалисты компании StormWall зафиксировали шквал DDoS-атак мощностью более 1 Тбит/с, длящихся в течение нескольких суток. В основном, хакеры атаковали компании развлекательного сектора, онлайн-магазины, издательские дома, финтех-ресурсы и криптосервисы. Атаки осуществлялись злоумышленниками с помощью нового мета-ботнета, который состоит из нескольких десятков тысяч серверов с разными версиями операционных систем, а также веб-камер, маршрутизаторов, умных телевизиров и других умных устройств.
Мета-ботнет
Поскольку в новую зомби-сеть входят устройства на базе различных операционных систем с самым разнообразным ПО, можно сделать вывод, что они были заражены разными способами с помощью независимых вредоносными программами. Каждая новая атака имеет примерно одинаковую мощность, но при этом разную географическую распределенность, что указывает на то, что в данном случае используется не единая зомби-сеть, но несколько разношерстных ботнетов, управляемых из единого центра, доступ к которой предоставляется всем злоумышленникам.
Ресурсы такого мета-ботнета делятся между несколькими пользователями, которые могут запускать DDoS-атаки одновременно. Для бомбардировки своей цели каждый злоумышленник использует не весь мета-ботнет, но несколько отдельных зомби-сетей из него, но даже они позволяют организовать атаку мощностью в несколько сотен Гбит/с. Поскольку каждый хакер имеет доступ только к одной части ботнета, то у других злоумышленников есть возможность в тот же самый момент использовать оставшуюся мощность, поэтому атакующие могут запускать продолжительные атаки перенаправляя части мета-ботнета на различных жертв, чтобы сбить настройки системы фильтрации.
Зомби-сети работают без подмены IP-адреса (спуфинга), поскольку для запуска атак используются ЦОДы и интернет-провайдеры, которые запрещают подмену IP-адреса. По данным экспертов, около 50% вредоносного трафика идет из Японии, 30% из США и 20% из других стран.
Рождественская конкуренция
Собственно, каждый год во время рождественских распродаж популярные Интернет магазины банят друг друга с помощью покупки DDoS-услуг. Поэтому в этих атаках нет ничего уникального — они повторяются из года в год, их достаточно легко фильтровать, поскольку ботнет работает без подмены IP-адреса. Уникальность этого года только в координации действий в рамках мета-ботнета, что требует наличия мощностей. Однако, большинству жертв, в том числе и небольшим операторам связи, этих мощностей не хватает. Расширить их сейчас не так просто, поскольку сроки поставок оборудования составляют от нескольких месяцев до года.
Отразить такие атаки можно, используя геораспределенную сеть защиты и фильтруя их ближе к тем регионам, откуда они были запущены. Чтобы создать эффективную систему защиты от таких атак, необходимо иметь огромные канальные емкости, а также большие мощности в части сетевого и вычислительного оборудования. Однако, ситуация осложняется тем, что в настоящее время существует дефицит сетевых карт и процессоров, и поставки необходимого оборудования растягиваются на многие месяцы. Для того, чтобы эффективно защитить онлайн-ресурсы от разрушительных атак, лучше использовать профессиональные решения или специализированные облачные сервисы по защите от DDoS-атак.
