Хакеры отказываются от использования больших бот-сетей в DDoS-атаках
25 февраля 2013 года

Киберпреступники, профессионально занимающиеся DDoS-атаками, все реже используют огромные бот-сети из зараженных компьютеров для проведения атак, предпочитая более эффективные и простые в управлении веб-серверы. Эксперты по информационной безопасности из "Лаборатории Касперского" и компании Highload Lab рассказали о том, почему это происходит, а также о некоторых других изменениях, произошедших в сфере DDoS-атак и борьбы с ними за последние годы.

По данным экспертов из американской компании Prolexic Technologies, занимающейся отражением вредоносных атак, в четвертом квартале 2012 года общее количество DDoS-атак выросло на 19% по сравнению с тем же периодом предыдущего года и на 27,5% по отношению к третьему кварталу. Средняя мощность атак за год выросла на 13% - с 5,2 до 5,9 Гбит.

Российские эксперты в области борьбы с DDoS-атаками согласны с западными коллегами: количество таких инцидентов растет, и они становятся более изощренными. Руководитель проекта Kaspersky DDoS Prevention "Лаборатории Касперского" Алексей Афанасьев и генеральный директор компании Highload Lab (защита от DDoS-атак) Александр Лямин, рассказали, как атаки на "отказ в обслуживании" эволюционируют, кто является главными мишениями и чего ждать от данной угрозы в будущем.

СЕРВЕРЫ ВМЕСТО ОБЫЧНЫХ ПК

До недавнего времени для проведения мощных DDoS-атак киберпреступники использовали в основном крупные бот-сети (сети из зараженных компьютеров). Чем больше компьютеров заражено, тем более мощную атаку можно организовать - таким был основной мотив для строительства многомиллионной бот-сети. Однако поддерживать работоспособность достаточно крупной для мощных атак бот-сети - тяжелая задача, ведь злоумышленникам постоянно необходимо следить за тем, чтобы в онлайн-доступе было нужное количество зараженных компьютеров.

Это, в свою очередь, означает, что потребуются постоянные траты на покупку новых "загрузок", то есть новых зараженных компьютеров взамен тех, что по каким-либо причинам выпали из бот-сети. В условиях постоянного роста числа компьютеров, на которых установлены коммерческие антивирусные продукты, эта задача становится все более хлопотной. В ответ на эту тенденцию хакеры ищут новые инструменты для атак, отмечает Алексей Афанасьев.

"Если дорого и некомфортно иметь гигантский ботнет, его постоянно пополнять и поддерживать, то злоумышленник ищет более простые способы расположить источники своего нападения. Все чаще это выделенные серверы", - сказал эксперт.

По словам Афанасьева, рост числа программного обеспечения для виртуализации серверов (создания виртуальной копии реального компьютера или сервера) и относительная простота его использования привели к появлению большого числа плохо сконфигурированных серверов, а также серверов, содержащих незакрытые уязвимости. Злоумышленники находят такие серверы, встраивают в них средства для осуществления DDoS-атак, и просто ждут "заказа".

"Принципы организации таких атак изменились. Вместо сотен тысяч рабочих станций - несколько серверов. Они производительнее, их быстрее и проще активировать", - отметил эксперт.

С Афанасьевым согласен Александр Лямин, генеральный директор компании Highload Lab, занимающейся защитой от DDoS-атак. Он добавил, что распространение практики использования серверов в качестве источника вредоносного трафика связано с появлением новых инструментов анонимизации, которые ранее не были доступны.

"Действительно, серверы используют все чаще, в том числе потому, что появился инструментарий, позволяющий генерировать пакеты с поддельными IP-адресами на высоких скоростях", - рассказал Лямин.

Теоретически отразить DDoS-атаку можно, имея информацию об источниках вредоносного трафика - то есть, IP-адресах, с которых к атакуемому сайту идет паразитный трафик. Однако использование инструментария для анонимизации затрудняет выявление таких источников и - как следствие - устранение самой атаки.

При этом даже при наличии информации об источниках вредоносного трафика, далеко не всегда удается отключить серверы, с которых он идет, отмечает Алексей Афанасьев. Злоумышленники территориально распределяют инфраструктуру для осуществления атак так, чтобы их было максимально трудно прекратить через обращение к провайдеру или дата-центру, в котором расположен атакующий сервер.

"Наши партнеры рассказывали нам об атаке, в которой серверы управления бот-сетью находились в одной из стран Центральной Азии, сами серверы, с которых велись атаки - в Турции и Европе, а цели атак - в США. Быстро закрыть такую бот-сеть или центр управления через прямое обращение к правоохранительным органам невозможно, поскольку злоумышленники выбрали страны, руководство которых крайне неохотно взаимодействует друг с другом. При этом преступники, как известно, границ не имеют", - рассказал Афанасьев.

ВЫСОКИЕ СЕЗОНЫ

Как и прежде, больше всего атак происходит в периоды наибольшей бизнес-активности - в "высокие" сезоны в сфере торговли товарами и услугами. В году таких сезона два - с конца осени и до новогодних праздников, а также примерно с середины весны и до начала лета, в сезон отпусков. В предновогодний сезон под атаками оказываются интернет-магазины и сайты, предоставляющие востребованные в это время года услуги (замена и продажа зимней резины для автомобилей, например); в весенне-летний сезон хакеры переключают внимание на сайты туристических агентств, сервисов по продаже билетов, бронированию гостиниц и интернет-магазины с товарами, которые актуальны в этот период. Чаще всего причиной атак становится недобросовестная конкуренция.

Бывают, впрочем, и сферы бизнеса, которые находятся под угрозой DDoS круглый год.

"Банки, площадки для интернет-торговли и другие финансовые организации - их недоступность в любое время года ведет к репутационным и финансовым потерям. Тендеры переносятся на другие торговые площадки, а клиенты банков, столкнувшись с недоступностью личного кабинета, просто перенесут свои деньги в другой банк", - приводит примеры Афанасьев.

ДОСТУПНОСТЬ DDOS-АТАК

Тот факт, что профессионалы переключили свое внимание с развертывания миллионных бот-сетей на поиск и заражение более мощных и удобных для DDoS-атак серверов, не означает, что ботнеты и угрозы от них остались в прошлом. Бот-сети из зараженных компьютеров мельчают и становятся более доступными для неподготовленных хакеров, отмечает Александр Лямин.

"Время бот-сетей-"миллионников" уходит. Максимум, что мы видим сейчас - это сети из 200-300 тысяч компьютеров. Одновременно из-за наличия большого количества различных средств для создания бот-сетей в открытом доступе, эта сфера становится очень конкурентной и минимальная цена на атаку постоянно снижается", - рассказал Лямин.

По его словам, сегодня организовать относительно заметную DDoS-атаку стало настолько просто, что это может сделать даже человек с минимальными представлениями о программировании. В результате чего растет количество относительно простых по принципу организации DDoS-атак, но эффективных против небольших компаний и сайтов. Такие атаки организованы далеко не профессионалами, но и они приносят результат как заказчикам в виде недобросовестных конкурентов из сферы малого бизнеса, так и исполнителям, получающим возможность заработать лишние несколько десятков долларов на карманные расходы.

"Это в порядке шутки, конечно, но мы видим тенденцию роста именно таких несложных атак в период школьных каникул. Этакий высокий "школьный" сезон", - рассказал Александр Лямин.

МОБИЛЬНЫЕ БОТСЕТИ И СОЦИАЛЬНЫЕ АТАКИ

Из наиболее интересных тенденций будущего DDoS-атак Лямин отмечает ботсети из мобильных устройств и "социальный" DDoS.

"Мобильные ботнеты уже существуют, но из-за низкой пропускной способности каналов мобильного интернета использовать их для DDoS-атак бессмысленно. А вот для реализации различных мошеннических схем с платными SMS и похищением персональных данных такие сети уже используются", - рассказал Лямин.

Впрочем, теоретически для атак мобильные бот-сети также могут быть применены. Но целью в этом случае будет не сайт компании или интернет-магазина, а сама мобильная сеть.

"Большое количество мобильных устройств теоретически позволяет организовать такую атаку. Если кому-то понадобится вывести из строя сеть сотовой связи, с помощью достаточно большого мобильного ботнета он сможет это сделать. Пока таких случаев зарегистрировано не было, но в индустрии эту угрозу видят, судя по тому, что средства защиты от подобных атак уже существуют", - рассказал эксперт.

Также эксперты ожидают нового витка в области так называемых "социальных" DDoS-атак, которые организовываются интернет-активистами, использующими торговую марку Anyonymous, ради выражения политического протеста. Хакеры из этого движения обычно используют для атак программу Low Orbital Ion Cannon, которая по осознанным и добровольным действиям пользователя превращает компьютер в инструмент для DDoS-атак. По словам Лямина, эта программа эволюционирует.

"Изначально LOIC была очень примитивной, и отфильтровать вредоносный трафик, который генерировался с ее помощью, было очень просто. В определенный момент она стала абсолютно неэффективной. Но сейчас мы видим новые вариации программы, в которых используются интересные технологии, позволяющие обойти известные защитные механизмы сайтов. Распознать такой трафик все еще довольно просто, но уже не так, как раньше", - сказал эксперт.

По мнению Лямина, в целом будущее DDoS-атак "безоблачно". Для действительно эффективного решения проблемы придется серьезно переработать основные протоколы передачи данных используемые сетью. По словам эксперта, к сожалению, внедряемый сейчас новый протокол IPv6 не вводит никаких новых механизмов для противодействия этому явлению. Лямин выразил надежду, что у инженерного сообщества получится сформулировать и реализовать необходимый набор инструментов к появлению следующей версии протокола IP, но произойдет это даже не в этом десятилетии.

"До тех пор атаки будут здесь, пока они будут в состоянии сгенерировать финансовую выгоду для заказчиков и исполнителей. До тех пор пока инфраструктура интернета серьезно не поменяется и не сделает DDoS-атаки невозможными. Это требует переработки базовых протоколов интернет-маршрутизации и самих протоколов передачи данных. Пока это не будет сделано, ничего здесь не изменится", - резюмировал Александр Лямин.