Коммерсантъ FM

Хакеры заходят с тыла

Участились сетевые атаки с российских устройств

На фоне роста блокировок IP-адресов, подозреваемых в совершении DDoS-атак, зарубежные хакеры начали массово использовать российские источники трафика. В их числе сетевое оборудование, устройства хостинг-провайдеров и интернета вещей (IoT). Возможность аренды недорогих мощностей у российских структур делает атаки дешевле для злоумышленников. Участники рынка опасаются, что ситуация приведет к введению ответственности для хостеров за использование их мощностей в противоправных целях.

Фото: Игорь Иванко, Коммерсантъ

Фото: Игорь Иванко, Коммерсантъ

“Ъ” ознакомился с отчетом Qrator Labs (оказывает услуги по сетевой безопасности), посвященным ситуации с DDoS-атаками (атака на сервер по модели «отказ в обслуживании») на российскую IT-инфраструктуру по итогам 2023 года. Из него следует, что хакеры научились успешно обходить блокировки по GeoIP (блокировка трафика по его географическому происхождению) и существенная часть кибератак теперь генерируется локальными источниками, близкими к региону жертв.

Атаки все еще реализуются издалека, но с использованием устройств в России, поясняют в Qrator Labs. В то же время общее число заблокированных IP-адресов, по данным компании, достигло максимума к концу 2023 год: за четвертый квартал заблокировано 22,3 млн адресов. Рост составил 19,25% к третьему кварталу и 120% ко второму. Оценки за первый квартал не приводятся. В 2022 году компания не проводила подобные замеры.

Злоумышленники используют «серые прокси-серверы, размещенные в России», отмечает менеджер продукта Qrator Labs Георгий Тарасов: «Результат — вредоносный трафик ассоциируется с не вызывающими подозрения IP-адресами с геопривязкой к РФ».

В качестве прокси-серверов может использоваться взломанное сетевое оборудование домашнего интернета и хостингов в России, уязвимые устройства IOT и мобильные гаджеты, уточняет эксперт.

Частота атак с зарубежных IP-адресов постепенно снижается, но увеличивается количество атак с российских, что свидетельствует о росте случаев аренды локальных IP-адресов, подтверждают в Innostage. В DDoS-Guard также отмечают, что сейчас атакующие запросы поступают с российских IP-адресов в 50% случаев, остальные — из Китая, Индонезии или США.

Блокировка по геопризнаку использовалась как средство ограничения доступа к ресурсам, которые не предполагают работу за пределами определенных регионов, говорит руководитель направления защиты на уровне веб-приложений в DDoS-Guard Дмитрий Никонов. В 2022 году из-за роста кибератак многие российские интернет-сервисы, в частности государственные, начали ограничивать доступ для всех зарубежных IP-адресов.

Роскомнадзор в 2023 году сообщал о создании собственной базы данных, которая должна сопоставлять IP-адреса с их примерным местоположением (см. “Ъ” от 25 октября). Это позволит противодействовать распределенным атакам, источниками которых являются ресурсы и уязвимые устройства за пределами российского сегмента сети, уточнили “Ъ” в ведомстве.

Василий Шпак, заместитель главы Минпромторга, на заседании комитета Госдумы по информполитике, связи и IT 22 марта 2022 года:

«Было бы правильным с точки зрения обороны и безопасности создать кибервойска и обеспечить их государственным заказом».

Большая часть атак с использованием российских устройств представляет собой хактивизм — политически мотивированные кампании, которые в основном инициируются иностранными группировками, полагает технический руководитель направления Anti-DDoS компании МТС RED Дмитрий Монахов. Например, атаки можно реализовывать через нелегальную аренду оборудования с помощью подставных юрлиц в России.

При подобных атаках часто используют виртуальные хостинги, добавляет гендиректор хостинг-провайдера RUVDS Никита Цаплин. В компании отмечают рост спроса на самые недорогие виртуальные серверы.

Такие атаки по-прежнему можно предотвратить в автоматическом режиме, утверждают в Ru-Center, иногда требуются дополнительные средства, например фильтры по черным спискам. На это вынуждены тратить время IT-специалисты компаний-жертв, также повышается нагрузка на сеть российских провайдеров и хостеров. Собеседник “Ъ” на телеком-рынке опасается, что расширение тренда может привести к введению регуляторами ответственности хостинг-провайдеров за использование их мощностей в противоправных целях.

Татьяна Исакова

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Новости компаний Все

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...