В России продолжает расти число DDoS-атак на интернет-ресурсы. Они осуществляются злоумышленниками с целью нарушить работу сайтов путем искусственно созданного мощного потока обращений к нему. В январе-мае 2014 года основной целью хакеров стали сайты платежных систем — в среднем 6,2 инцидента на один интернет-ресурс.

По данным, которые предоставлены «Ленте.ру» компанией Qrator Labs, специализирующейся на защите сайтов от DDoS-атак, это намного превышает количество посягательств на другие виды сайтов. Такой вывод следует из анализа опыта около 400 корпоративных клиентов Qrator Labs.

Деньги решают все

В январе-мае прошлого года наиболее часто злоумышленники атаковали сайты биржевых компаний («Форекс» и других) - в среднем 10,7 атак на одну компанию в месяц. За ними следовали купонные сервисы - 5,4 инцидента, а также сайты по недвижимости - в среднем по 5 атак на каждый.

За те же пять месяцев нынешнего года в тройке наиболее атакуемых видов интернет-сайтов произошли изменения. Главной целью хакеров стали ресурсы платежных систем с показателем 6,2 атаки на один ресурс ежемесячно. Эти сайты заняли место среди основных объектов охоты киберпреступников вместо купонных сервисов.

По-прежнему в зоне повышенного внимания злоумышленников остаются сайты сектора недвижимости (5,37 атаки на один ресурс) и биржевые сайты (4,37 атаки).

DDoS-атаки на правительственные ресурсы и в прошлом году, и в этом не сильно интересовали киберпреступников. За год среднее количество инцидентов с госресурсами снизилось на треть, до 0,9 атаки в месяц. Можно сделать вывод, что либо хакеры не видят никакой для себя выгоды, атакуя подобные сайты, либо сделать это становится слишком сложно и не оправдывает трудозатрат.

Помимо государственных, не особенно привлекают киберзлоумышленников игровые интернет-сервисы и так называемые сайты-визитки компаний (по 1,49 атаки на ресурс). Оно и понятно: там нечего взять.

По данным исследования компании Trend Micro, за последние несколько лет услуги хакеров в России заметно подешевели. Таким образом, им становится выгоднее атаковать те ресурсы, которые могут принести заметное обогащение, тогда как DDoS-атаки на государственные сайты вряд ли могут быть эффективными в смысле получения денежной прибыли.

Интересы хакеров смещаются в сторону компаний, атаковав которые можно получить материальную выгоду. Например, количество инцидентов с интернет-магазинами в первые пять месяцев текущего года выросло более чем в три раза по сравнению с аналогичным периодом прошлого года и составило 3,7 DDos-атаки в месяц.

Чем дальше, тем гуще

Всего за 2013 год компания Qrator Labs нейтрализовала 6,6 тысячи DDoS-атак на своих клиентов. Годом ранее эта цифра составила 3,7 тысячи инцидентов.

По словам Александра Лямина, основателя и генерального директора Qrator Labs, общее количество атак на российские сайты выросло за прошлый год примерно на четверть.

Также возросло среднее число атак, приходящихся на один сайт. Одной из причин происходящего Лямин видит в том, что в последние годы осуществить DDoS-атаку становится легче.

«Хакеры стали более гибкими в отношении выбора метода атаки. Мы наблюдаем четкую тенденцию уменьшения длительности атак на наших клиентов — если раньше исполнители атак подолгу пытались преодолеть защиту, то сейчас речь идет в основном о кратковременных пробах прочности, за которыми следует отказ от намерений либо смена методики или технологии атаки», — отмечает Лямин.

Атаки усиливаются

По данным «Лаборатории Касперского», весной 2014 года средняя мощность DDoS-атаки составляла 70-80 гигабит в секунду, а в пиковые моменты — 100 гигабит в секунду. А еще год назад самая мощная DDoS-атака в рунете не превышала порога в 60 гигабит в секунду.

Столь значительное увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников метода NTP Amplification. Атаки этого типа имеют коэффициент усиления (к числу задействованных в атаке компьютеров) до 556 раз, что позволяет хакерам быстро достичь высокой мощности при минимальных усилиях. Помимо этого, такой метод дает злоумышленникам возможность скрыть свой настоящий адрес, что затрудняет их идентификацию.

Прогнозы

В Qrator Labs на сегодняшний день выделяют несколько основных классов атак. Во-первых, это «забивание» полосы каналов связи многочисленными обращениями к атакуемому ресурсу. Такие нападения происходят почти каждый день, достаточно разрушительны, просты в исполнении и тривиальны.

По словам Лямина, крайне опасным видом атак из-за сложности их обнаружения являются атаки на инфраструктуру сети, на все ее элементы, которые взаимодействуют с оборудованием, пересылающим пакеты информации.

Эти атаки влияют на информацию о маршрутах передачи данных, работоспособность оборудования. Пока они остаются ниже «радара» злоумышленников, но фокус туда обязательно сместится в ближайшее время, поскольку с атаками, влияющими на инфраструктуру сети, бороться сложно, и методы противодействия сейчас только разрабатываются.

«В 2014 году ситуация с DDoS-атаками в рунете будет зависеть от того, как отреагирует сообщество операторов на вызовы киберпреступников. Если не будут предприниматься согласованные меры всех участников межоператорского взаимодействия по противодействию угрозе, с высокой вероятностью можно ожидать устойчивого роста и мощности, и количества атак», — полагает Александр Лямин.

Инна Кудрина, Игорь Агапов