Масштаб атак беспрецедентный

Директор центра противодействия кибератакам Solar JSOC "Ростелеком-Солар" Владимир Дрюков в комментарии для ComNews отметил, что с 24 февраля наблюдается кратный рост числа DDoS-атак. Емкость некоторых из них превышает 750 Гб - это уровень самых объемных атак, фиксируемых ранее на сети "Ростелекома".

Эксперт по кибербезопасности "Лаборатории Касперского" Александр Гутников охарактеризовал ситуацию последних дней февраля следующим образом: "Более 60% всех февральских атак пришлись на этот период, а общий показатель по количеству атак в феврале уже составляет 451% от показателя в феврале 2021 г. Активнее всего злоумышленники атакуют государственные организации, банки и сайты СМИ".

Именно на DDoS-атаках "специализируется" группировка Anonymous, которая 25 февраля объявила о поддержке Украины. Именно Anonymous взяла на себя ответственность за атаку на канал RT. На настоящий момент сайт канала открывается со значительными задержками. Также заявлено об атаке на сайт Министерства обороны, но данный факт подтвержден не был. А 28 февраля проведен дефейс сайтов ряда российских и белорусских СМИ и информационных агентств, включая ТАСС, "Коммерсант", "Фонтанку", РБК, Forbes, "Известия", Znak. com, BURO 24/7, "Мел", E1, "Такие дела", а также белорусское издание Onlinеr.bу. Ответственность за эту атаку также взяла на себя Anonymous. Вместе с тем 27 февраля Telegram-канал "Утечки информации" сообщил, что сайт Anonymous был недоступен в течение нескольких суток вследствие, опять же, DDoS-атаки.

Как отметила пресс-служба Group-IB, Anonymous является своего рода зонтичной структурой: "Anonymous обычно действуют следующим образом: сначала они в публичных сообществах, например в Twitter, призывают к атакам на определенные организации в рамках той или иной кампании. Для того чтобы пользователи легко могли идентифицировать эти атаки, они обычно используют специальные хештеги под каждое событие и хештэг Anonymous. К этим кампаниям могут присоединяться молодые хакеры без профессиональных навыков и умений. Однако сила подобных акций именно в массовости хактивистов, которые принимают участие в подобных акциях. А учитывая доступность различных средств, как для DDoS-атак, так и для пентестинга - проверки ресурсов на уязвимости, их жертвами легко могут стать слабо защищенные ресурсы".

Вместе с тем, как сообщили в Group-IB, недооценивать их не стоит, так как они часто являются прикрытием для киберармий и кибернаемников, которых нанимают правительственные структуры и спецслужбы разных стран для решения различных задач в киберпространстве.

Основатель и генеральный директор Qrator Labs Александр Лямин утверждает, что на данный момент профессионально организованных DDoS-атак не наблюдается: "Атаки последних нескольких дней относятся к проявлению хактивизма - цифровому выражению социально-политического протеста. Это атаки любительского уровня, затраты на их организацию минимальны, а нанесенный бизнесу ущерб невелик, за исключением случаев, когда компания совсем не была готова к нападениям. Учитывая распределенный характер атак, их трафик поступает из разных стран мира".

Александр Гутников считает, что организаторы атак берут массовостью, но среди участников встречаются и опытные профессионалы: "Каких-то новых схем или технологий в этой волне атак не наблюдается. Основная ее особенность - это массовость. По косвенным признакам мы видим, что участие в них принимают как профессионалы с серьезным опытом, подготовкой и инструментарием, так и множество новичков, использующих исключительно примитивные инструменты. Доля "умных атак" составляет примерно 32% от всех атак с 24 февраля, что ниже среднего".

Как сообщило американское издание Bleeping Computer, украинские власти обратились к хакерам и ИБ-специалистам вступать в "украинскую киберармию". Министр цифровой трансформации Украины Михаил Федоров в своем Twitter-аккаунте выступил с заявлением: "Стране требуются талантливые айтишники и ибэшники для выполнения оперативных задач против Российской Федерации в киберпространстве". Для атак определена 31 цель: российские госучреждения, как федеральные, так и региональные, государственные почтовые сервисы, крупные банки, крупнейшие корпорации, а также поисковые и почтовые сервисы "Яндекса". Владимир Дрюков также обращает внимание, что злоумышленники бесплатно раздают доступы к ряду систем в даркнете, хотя ранее они эти данные продавали.

Так, российское Минцифры 26 февраля зафиксировало, как сказано в официальном обращении ведомства, более 50 DDoS-атак на свои сервисы мощностью более 1 Тбайт, а также ряд профессиональных целевых атак на портал Госуслуг (см. новость на ComNews от 27 февраля 2022 г.). В итоге пользователи могли сталкиваться с тем, что сервисы были недоступными. Тем не менее в сообщении Минцифры подчеркивалось, что все персональные данные пользователей надежно защищены, к ним хакеры не могут получить доступ.

Владимир Дрюков из "Ростелеком-Солар" в целом подтверждает, что кража данных не является целью атакующих: "Практически непрерывно идет DDoS на банковский сектор. В органах госвласти ударам подвергаются приложения, и, если та или иная система не обеспечена прикладной защитой, это создает существенные проблемы. Главный мотив подобных атак - хактивизм с целью приостановить работу сервисов и посеять панику. При этом прямого ущерба подобные действия скорее не несут".

С 25 февраля с атаками того же типа столкнулась ГК "Роскосмос". "Официальный сайт "Роскосмоса" атакуют с помощью DDoS. Атака проводится с зарубежных серверов. Профильные специалисты проводят все требуемые мероприятия, чтобы нейтрализовать действия злоумышленников", - заявили в пресс-службе "Роскосмоса". Также в "Роскосмосе" отметили, что, несмотря на атаки, сайт продолжает открываться, хотя время загрузки страниц могло увеличиться.

Также, по данным сайта сообщества специалистов по ИБ Cisco Club, атакам подвергались сайты РЖД, ряда ведущих СМИ, а также федеральных и региональных госучреждений.