Эксперты «Лаборатории Касперского» рассказали «Ъ», что в феврале компания отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период 2021 года, причем более 60% из них произошли с 24 по 28 февраля. В этот период началась военная операция России на Украине. В «Ростелеком-Солар» за это же время наблюдали кратный рост числа DDoS-атак, емкость некоторых превышала 750 Гбит/с. «Это верхняя планка, если рассматривать DDoS-атаки, фиксируемые ранее на сети «Ростелекома»»,— рассказал руководитель направлений Anti-DDoS компании Егор Валов. По его данным, к середине дня 28 февраля было зафиксировано 175 попыток DDoS-атак, но самая крупная достигала только 63 Гбит/с, самая долгая длилась почти час.
DDoS — это атака на сервер по модели «отказ в обслуживании». Хакеры направляют огромное количество запросов к онлайн-ресурсу, из-за которых он выходит из строя.
Количество DDos-атак на интернет-ресурсы России за последние дни резко увеличилось, подтверждают в Positive Technologies. «Судя по всему, это не предел — множество пабликов в соцсетях призывают к атакам на публичные ресурсы»,— говорит директор экспертного центра безопасности компании Алексей Новиков.
Трафик атак поступает из разных стран мира, в том числе и с территории России, рассказали в Qrator Labs.
Постоянные атаки на десятки государственных ресурсов и госкорпораций, а также системообразующих компаний, банков и СМИ начались в выходные и продолжаются до сих пор, отметил сооснователь StormWall Рамиль Хантимиров. Списки ресурсов для атак публикуются в интернете, например в Telegram-канале «IT-армии Украины», рассказывает он. В числе прочих 28 февраля атаке движения Anonymous подверглись сайты таких СМИ, как ТАСС, «Коммерсантъ», «Фонтанка», РБК, «Известия», Forbes, Buro 24/7, «Такие Дела», «Право.ру», «PeopleTalk», а также сайт видеосервиса Megogo. Собеседники «Ъ» на рынке кибербезопасности объяснили, что проблемы с работой многих сайтов СМИ были вызваны атаками на сторонние сервисы, в том числе на партнерские рекламные сети или сервисы аналитики, которые используются этими СМИ.
Для организации DDoS атак используются списки сайтов, при открытии которых браузер пользователя сам начинает атаковать российские сайты.
«Такие ресурсы могут распространяться под заголовками «Результаты нашего сопротивления» или «Список сайтов, которые надо атаковать»»,— рассказал господин Хантимиров. Схема не новая, но в таких масштабах раньше не использовалась, отмечает эксперт. Для ее работы необходимо, чтобы на сайт-прослойку для атаки заходило одновременно много людей, как, например, 213 тыс. человек в группе «IT-армии Украины».
Атаки путем самостоятельной отправки запросов через браузер могут распространяться через фишинговые сайты, уточнил Егор Валов: «Если пользователь откроет такой ресурс отдельной вкладкой в браузере, то сайт будет слать от его имени множество запросов в адрес жертвы, используя язык javascript, встроенный скрыто в тело страницы».
Атаки, происходящие последние несколько дней, можно отнести к проявлению хактивизма — это цифровое выражение социального протеста, отметил гендиректор Qrator Labs Александр Лямин. По его словам, обычно ущерб от таких нападений невелик, поскольку подобные DDoS-атаки носят любительский характер. Цель хактивистов — приостановка работы сервисов и лишение организации возможности сетевого взаимодействия в интернете, отметил Егор Валов. Эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников говорит, что, судя по косвенным признакам, крупные цели атакуют с помощью продвинутых техник, требующих определенного опыта и подготовки, но доля таких «умных» атак в период после 24 февраля составляет всего 32% от общего числа, что существенно ниже среднего.
DDoS-атаки на российские сайты продолжаются