Хакеры заходят с тыла

На фоне роста блокировок IP-адресов, подозреваемых в совершении DDoS-атак, зарубежные хакеры начали массово использовать российские источники трафика. В их числе сетевое оборудование, устройства хостинг-провайдеров и интернета вещей (IoT). Возможность аренды недорогих мощностей у российских структур делает атаки дешевле для злоумышленников. Участники рынка опасаются, что ситуация приведет к введению ответственности для хостеров за использование их мощностей в противоправных целях.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с отчетом Qrator Labs (оказывает услуги по сетевой безопасности), посвященным ситуации с DDoS-атаками (атака на сервер по модели «отказ в обслуживании») на российскую IT-инфраструктуру по итогам 2023 года. Из него следует, что хакеры научились успешно обходить блокировки по GeoIP (блокировка трафика по его географическому происхождению) и существенная часть кибератак теперь генерируется локальными источниками, близкими к региону жертв.

Атаки все еще реализуются издалека, но с использованием устройств в России, поясняют в Qrator Labs. В то же время общее число заблокированных IP-адресов, по данным компании, достигло максимума к концу 2023 год: за четвертый квартал заблокировано 22,3 млн адресов. Рост составил 19,25% к третьему кварталу и 120% ко второму. Оценки за первый квартал не приводятся. В 2022 году компания не проводила подобные замеры.

Злоумышленники используют «серые прокси-серверы, размещенные в России», отмечает менеджер продукта Qrator Labs Георгий Тарасов: «Результат — вредоносный трафик ассоциируется с не вызывающими подозрения IP-адресами с геопривязкой к РФ».

В качестве прокси-серверов может использоваться взломанное сетевое оборудование домашнего интернета и хостингов в России, уязвимые устройства IOT и мобильные гаджеты, уточняет эксперт.

Частота атак с зарубежных IP-адресов постепенно снижается, но увеличивается количество атак с российских, что свидетельствует о росте случаев аренды локальных IP-адресов, подтверждают в Innostage. В DDoS-Guard также отмечают, что сейчас атакующие запросы поступают с российских IP-адресов в 50% случаев, остальные — из Китая, Индонезии или США.

Блокировка по геопризнаку использовалась как средство ограничения доступа к ресурсам, которые не предполагают работу за пределами определенных регионов, говорит руководитель направления защиты на уровне веб-приложений в DDoS-Guard Дмитрий Никонов. В 2022 году из-за роста кибератак многие российские интернет-сервисы, в частности государственные, начали ограничивать доступ для всех зарубежных IP-адресов.

Роскомнадзор в 2023 году сообщал о создании собственной базы данных, которая должна сопоставлять IP-адреса с их примерным местоположением (см. “Ъ” от 25 октября). Это позволит противодействовать распределенным атакам, источниками которых являются ресурсы и уязвимые устройства за пределами российского сегмента сети, уточнили “Ъ” в ведомстве.

Большая часть атак с использованием российских устройств представляет собой хактивизм — политически мотивированные кампании, которые в основном инициируются иностранными группировками, полагает технический руководитель направления Anti-DDoS компании МТС RED Дмитрий Монахов. Например, атаки можно реализовывать через нелегальную аренду оборудования с помощью подставных юрлиц в России.

При подобных атаках часто используют виртуальные хостинги, добавляет гендиректор хостинг-провайдера RUVDS Никита Цаплин. В компании отмечают рост спроса на самые недорогие виртуальные серверы.

Такие атаки по-прежнему можно предотвратить в автоматическом режиме, утверждают в Ru-Center, иногда требуются дополнительные средства, например фильтры по черным спискам. На это вынуждены тратить время IT-специалисты компаний-жертв, также повышается нагрузка на сеть российских провайдеров и хостеров. Собеседник “Ъ” на телеком-рынке опасается, что расширение тренда может привести к введению регуляторами ответственности хостинг-провайдеров за использование их мощностей в противоправных целях.

Татьяна Исакова