Сети оказались заразительны

Ботнеты, которые хакеры задействуют при проведении сетевых кибератак, продолжают расти: самый крупный из них насчитывает до 4,6 млн устройств. Для борьбы с каждым из них требуется особый подход. При этом из-за тренда на цифровизацию ожидать уменьшения количества зараженных устройств не приходится.

Выйти из полноэкранного режима

Развернуть на весь экран

За первую половину 2025 года в России провайдерами IT-инфраструктуры было зафиксировано 61 тыс. DDoS-атак, об этом “Ъ” рассказали в компании Selectel. Среди «рекордов» компания отмечает максимальную продолжительность инцидентов на одного клиента из IT-сферы в 553 часа, что на 383 часа больше, чем в первом полугодии 2024 года. Руководитель направления продуктовой безопасности Selectel Антон Ведерников заявляет, что кибератаки не только участились, но и стали дольше, что говорит о том, что злоумышленники все чаще прибегают к повторным и затяжным атакам.

Смена тактики напрямую связана с резким ростом ботнетов (сетей устройств). Если в 2024 году они насчитывали сотни тысяч устройств, то к 2025 их размер увеличился до нескольких миллионов, говорит Антон Ведерников. По данным компании Curator, в 2024 году самый крупный ботнет насчитывал 227 тыс. устройств, в первом квартале 2025-го — 1,3 млн, а во втором уже 4,6 млн устройств.

Ботнеты — ключевой инструмент в DDoS-атаках, так как именно они позволяют обеспечить анонимность атакующих, масштабируемость нагрузки атаки, гибкость как с точки зрения вида атаки, так и количества одновременно атакуемых целей, отмечает директор по ИБ РТК-ЦОД Денис Поладьев. «При этом ботнеты являются достаточно дешевым инструментом»,— добавляет он. Кроме уже привычных IoT-устройств все чаще используются виртуальные частные серверы, зараженные ПК, серверы хостинг-провайдеров, а также скомпрометированные контейнеры (Docker, Kubernetes), отмечает руководитель направления «Киберразведка» компании «Бастион» Константин Ларин.

Также злоумышленники используют более продвинутые методы для работы со своими ботнетами, отмечает гендиректор хостинг-провайдера RUVDS Никита Цаплин. Для управления сетью зараженных устройств они используют «булетпруф-хостинги» (позволяют вести противозаконную деятельность), эксплуатируют особенности различных сетевых протоколов, а также используют метод амплификации трафика (от имени жертвы рассылаются запросы на уязвимые серверы, вызывая таким образом ответный многократно превышающий объем данных на ресурсы жертвы).

При этом стандартные методы (блокировка по IP или геолокации) становятся неэффективными, добавляет Антон Ведерников. «На первый план выходит глубокая аналитика, включая поведенческую с использованием машинного обучения. Для обмена данными и борьбы, в частности, с ботнетами и зараженной ими инфраструктурой в России работают несколько крупных государственных и коммерческих центров: НКЦКИ, RU-CERT, Kaspersky, Curator, StormWall, DDoS-Guard»,— добавил он. Руководитель команды киберзащиты облачного провайдера Nubes Дмитрий Шкуропат отмечает на рынке увеличение спроса на защиту от ботнетов среди практически всех категорий компаний. При этом, по его словам, ситуация требует не просто наращивания бюджетов, а «переосмысления подходов к защите». В частности, внедрения систем раннего предупреждения, резервных каналов связи и т. д.

Против атак c амплификацией нужно уметь фильтровать и сбрасывать DDoS-трафик, но бесполезно блокировать IP-адреса, так как они подделываются злоумышленниками и такой подход может лишь навредить, говорит менеджер продукта Curator.CDN Георгий Тарасов. Против атак на уровне приложения, которые требуют установки соединений с сервером жертвы, блокировка IP-адресов работает. Но если ботнет размещен на домовых или мобильных сетях, то от блокировок могут пострадать обычные пользователи. «Современный ботнет умеет одновременно генерировать множество разных типов DDoS-атак — защитник должен определить все векторы и для каждого подобрать свою контрмеру, которая и спасет сервер, и не отгородит от него пользователей»,— добавил он.

Филипп Крупанин