Хакеры пошли по распределению
Число DDoS-атак быстро растет
Число DDoS-атак на российские компании в первом квартале удвоилось год к году. В основном под ударом находятся компании из критически значимых отраслей, но инциденты затрагивают и граждан. В Роскомнадзоре говорят об отражении только за первый квартал почти втрое большего числа атак, чем за весь 2023 год. Однако эксперты полагают, что используемая ведомством технология блокировки трафика по географическому признаку будет все менее эффективной в силу распределенности атак.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
“Ъ” ознакомился с данными ГК «Солар» (структуры «Ростелекома») о сетевых кибератаках в первом квартале 2024 года, согласно которым их количество удвоилось год к году, до 119 тыс. Речь идет о DDoS-атаках (атака на сервер по модели «отказ в обслуживании»). Самым продолжительным с начала года стал инцидент, который длился 11 дней, его максимальная мощность достигала 724 Гбит/с. В частности, в «Солар» отмечают более 2,5 тыс. DDoS-атак на энергокомпании — втрое больше, чем в четвертом квартале 2023 года, и почти на порядок больше год к году. Это самый сильный рост среди всех отраслей. В целом хакеры активнее всего атакуют также госсектор, финансовый рынок и IT.
Хакеры усиливают атаки в том числе за счет увеличения их стоимости, объясняет замдиректора по продуктовому развитию ГК «Солар» Артем Избаенков. Например, они арендуют вычислительные мощности в ЦОД в разных странах, а не только находят тех, кто готов участвовать по идеологическим соображениям. Как правило, это хакеры низкой квалификации. Также, считают в компании, росту способствует распространение технологии интернета вещей (IoT) и «умных» устройств, которые хакеры объединяют в ботнет-сети.
Эксперты DDoS-Guard подтверждают тенденцию увеличения количества инцидентов: по их оценке, год к году в первом квартале рост составил 29%.
В компании уточнили, что наблюдали спад активности злоумышленников в феврале, но к марту число инцидентов приблизилось к 172,5 тыс. Количество атак будет и дальше расти, потому что все больше устройств вовлекается в ботнеты, ожидают в DDoS-Guard: «Роботизированный трафик становится труднее отличить от реальных пользователей».
От кибератак страдают не только организации, но и граждане. По информации источников “Ъ”, 13 марта DDoS-атаке подвергся интернет-провайдер и провайдер цифрового ТВ и телефонии, работающий в Подмосковье,— «Телинком». Компания в этот день разослала абонентам сообщения о том, что в связи с DDoS-атакой «наблюдаются ограничения в работе сети». В «Телинкоме» “Ъ” не ответили. Также в марте выросло количество атак на тревел-сегмент в РФ, сообщали аналитики StormWall. По их данным, злоумышленники атаковали сайты турагентств и авиакомпаний.
«Мы наблюдаем тренд на локализацию DDoS: атаки из-за рубежа блокируются, и злоумышленники все чаще используют российские IP-адреса, получая их под теми или иными предлогами»,— отмечает гендиректор хостинг-провайдера RUVDS Никита Цаплин.
Борьба с этим ведется, но пока полностью решить проблему не получается, подчеркивает он.
Динамика DDoS-атак растет с начала вооруженного конфликта на Украине. Так, в начале 2023 года их число тоже увеличилось относительно 2022 года, а география атакуемых объектов расширилась (см. “Ъ” от 29 мая 2023 года). Для противодействия атакам подведомственный Роскомнадзору Главный радиочастотный центр заказал в 2023 году разработку Национальной системы противодействия DDoS-атакам за 1,4 млрд руб. Ее планировалось создать на базе уже функционирующей сети ТСПУ (технические средства противодействия угрозам). По условиям тендера система должна быть разработана к марту 2024 года. В Роскомнадзоре “Ъ” не ответили.
«РИА Новости» со ссылкой на ведомство 14 апреля сообщало, что специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора в первом квартале «отразили 512 крупных DDoS-атак, это почти втрое больше, чем за весь 2023 год». В то же время, говорит собеседник “Ъ” на рынке, Роскомнадзор использует для борьбы с сетевыми атаками блокировки по географическому признаку, то есть отсекая трафик, исходящий с территории государств, откуда шла большая часть вредоносной активности. Однако, говорит источник “Ъ”, «в силу распределенности современных кибератак блокировка только таким способом уже становится неэффективной».