Как «валят» ваши сайты. DDoS-атаки второй половины 2011 года
События и цифры полугодия, DDoS-атаки и политические протесты, атаки на малый бизнес, разборки киберпреступников, преступления и наказание. А еще – виды DDoS-атак и ваши уязвимости.
Все статистические данные, использованные в отчете, получены с помощью системы мониторинга за ботнетами «Лаборатории Касперского» и системы Kaspersky DDoS Prevention.
Цифры полугодия Во втором полугодии 2011 года максимальная мощность атак, отраженных Kaspersky DDoS Prevention, по сравнению с первым полугодием увеличилась на 20% и составила 600 Мбит/с или 1 100 000 пакетов/секунду (UDP-flood короткими пакетами по 64 байта). Средняя мощность отраженных Kaspersky DDoS Prevention атак во втором полугодии 2011 выросла на 57% и составила 110 Мбит/с. Самая протяженная DDoS-атака, зафиксированная во втором полугодии, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт. Средняя продолжительность DDoS-атак составила 9 часов 29 минут. Больше всего DDoS-атак в течение второго полугодия — 384 — было нацелено на сайт одного из киберкриминальных порталов. DDoS-атаки осуществлялись с компьютеров, находящихся в 201 стране мира. События полугодия
Игра на фондовой бирже, как известно, дело непростое: нужно уметь проанализировать ситуацию, спрогнозировать развитие событий на рынке в целом и в компаниях, чьи акции вас интересуют, и вовремя реагировать на важные новости. Все это возможно лишь при условии, что игроки могут вовремя получать важную информацию.
Если же один из игроков получит каким-либо образом важные данные раньше других, то он может хорошенько заработать. Реализовать мошенническую схему, когда большинство участников рынка будут получать информацию с запозданием, можно с помощью DDoS-атак, что мы и увидели в конце лета 2011. 10 августа один из сайтов Гонконгской фондовой биржи подвергся DDoS-атаке. Цель хакеры выбрали интересную — не главный сайт биржи, а сайт, на котором публикуются важные объявления от крупнейших игроков рынка.
В результате во второй половине дня было принято решение об остановке торгов по акциям семи компаний, в том числе HSBC, Cathay Pacific, China Power International, и соответствующим деривативам. Сайт находился в оффлайне в течение еще одного дня, и до момента его восстановления торги по зависящим позициям были также приостановлены.
Подсчитать возможные убытки или прибыль практически невозможно, однако совершенно ясно, что кто-то на этом пытался заработать. Естественно, атака была проведена с помощью ботнета, а найти заказчика в таком деле — задача непростая.
Однако учитывая, какие деньги крутятся на бирже, а также возможное негативное влияние инцидента на репутацию HKEX — пятую крупнейшую биржу в мире, — правоохранительные органы Гонконга занялись этим делом всерьез.
Через две недели было объявлено об аресте человека, подозреваемого в организации атаки. Арестованный полицией 29-летний мужчина оказался бизнесменом, играющим на бирже. Теперь за проведение DDoS-атаки ему грозит до пяти лет тюремного заключения — вполне серьезный срок, чтобы обдумать другие, более законные финансовые стратегии поведения на рынке.
Небезызвестная группа Anonymous отличилась и в этом полугодии. После нападения полиции на участников акции в поддержку движения Occupy Wall Street, с применением слезоточивого газа, резиновых пуль и прочего травматического оружия, и последовавших затем арестов, была организована новая акция, Occupy Oakland.
В результате DDoS-атаки, ставшей частью этой акции, на некоторое время стал недоступным сайт управления полиции города Окленда, а в Сети была опубликована конфиденциальная информация данной организации.
В тему: Российская Anonymous взяла ответственность за взлом почты «Наших»
Через некоторое время Anonymous атаковали правительственные сайты Республики Сальвадор, в которой, по мнению группировки, произошло несколько событий, связанных с нарушением прав человека. После перехвата израильским спецназом судна с гуманитарной помощью у берегов Газы члены Anonymous выложили видео на YouTube, в котором предупредили о готовящихся ими протестных атаках. Уже через два дня сайты Армии обороны Израиля, спецслужб «Моссад» и «Шин-бет» оказались недоступны.
Однако информацию об атаке со стороны Anonymous не подтвердило правительство Израиля, объяснив недоступность сайтов ошибками в работе серверов. Впрочем, не за все громкие политические атаки брали на себя ответственность представители группы, которая уже стала притчей во языцех.
В сентябре неизвестные злоумышленники провели DDoS-атаку на сайт посольства России в Лондоне. Атака была проведена накануне визита премьер-министра Великобритании в Москву, что явно демонстрировало неодобрение этого политического действия атаковавшей стороной.
В тему: Украинцы вторые сутки яростно «валят» веб-сайты огранов власти
За прошедшие полгода мы зафиксировали две большие волны DDoS-атак на сайты туристических фирм. Первая была приурочена к летним отпускам, когда жаждущие солнца и теплого моря пользователи активно искали варианты пляжного отдыха. (В этот период злоумышленники также заказывали DDoS-атаки сайтов, связанных с арендой и продажей квартир в теплых краях.)
Вторая волна атак прошла в период новогодних праздников. В это время атакам чаще подвергались сайты турфирм, предлагающих туры «в новогоднюю сказку» и в места рождественских гуляний, а не отдых в теплых странах. Среди туристических компаний, ставших жертвами DDoS-атак, не было ни одного крупного туроператора. Все атаки были направлены на сайты турагентств.
Отметим, что турагентств значительно больше, чем туроператоров, в связи с чем конкуренция между агентствами значительно жестче. По сравнению с месяцами туристического затишья в высокий сезон количество атак на сайты турфирм увеличивается в 5 раз. Можно с уверенностью сказать, что и летом, и зимой DDoS-атаки были заказными: фактически это война турагентств в киберпространстве.
При этом периоды DDoS-атак совпадают с периодами массовых спам-рассылок, рекламирующих услуги туристических агентств. Все это говорит о том, что конкуренция в туристическом бизнесе такова, что некоторые игроки готовы использовать любые методы для переманивания и привлечения клиентов.
Из интересных фактов стоит отметить резкий рост во втором полугодии числа атак на сайты, предлагающие заказ такси и заправку картриджей. Заметим, эти же услуги рекламировались с помощью спам-рассылок. Очевидно, что компании, заказывающие такие рассылки, имеют выход на ботмастеров и вполне могут являться заказчиками DDoS-атак на сайты конкурентов.
В октябре получила продолжение история с DDoS-атаками на платежный сервис ASSIST: владелец процессингового центра ChronoPay Павел Врублевский, подозреваемый в проведении этих DDoS-атак, сознался в их организации. Напомним: в результате атак стала невозможной продажа электронных билетов на сайте крупнейшей авиакомпании России «Аэрофлот».
Вероятно, с помощью DDoS-атаки владелец ChronoPay хотел дискредитировать сервис конкурента и переманить крупного клиента, которым является «Аэрофлот», тем самым увеличив свою и без того немалую долю (40%) на рынке процессинговых услуг. Атака началась 16 июля 2010 года, и компания Аэрофлот смогла возобновить продажи электронных билетов только через семь дней.
Ликвидация атаки заняла слишком много времени, в результате ASSIST потерял важного клиента: «Аэрофлот» подписал контракт с Альфа-банком. В настоящее время Врублевскому вменяются в вину правонарушения по статьям 272 и 273 УК РФ, по которым предусмотрено наказание вплоть до лишения свободы на срок до 7 лет. Преследования со стороны правоохранительных органов не избежали и некоторые члены группы Anonymous, участвовавшие в DDoS-атаках.
Хактивисты были арестованы в Турции, Италии, Испании, Швейцарии, Англии и США. Проще всего было отследить хакеров, участвовавших в атаках с использованием open-source инструмента LOIC (Low Orbit Ion Canon). Этот инструмент создает тестовую нагрузку на сервер, то есть сама программа написана без злого умысла. Как следствие, в ней не заложено каких-либо функций по сокрытию источника атаки.
Поэтому для идентификации атакующих правоохранительным органам было достаточно просмотреть логи и связаться с провайдерами. В остальных случаях поимка хактивистов — задача более сложная. Однако было бы наивно предполагать, что DDoS-атаки и взломы правительственных сайтов просто так сойдут с рук их организаторам.
Заметим, что средний возраст арестованных – примерно 20 лет. Борьба с ботнетами возможна лишь при наличии тесной кооперации между правоохранительными органами, антивирусными вендорами и компаниями, производящими программное обеспечение.
DDoS-атаки являются средством недобросовестной конкуренции не только на рынке реальных товаров и услуг, но и в теневом бизнесе. Учитывая, что весь киберкриминальный бизнес функционирует в интернете, DDoS-атаки являются весьма эффективным инструментом давления на конкурентов.
Во втором полугодии максимальное количество атак– 384 — было направлено на ресурс, торгующий поддельными документами. В целом к DDoS-атакам чаще всего прибегают представители кардерского бизнеса: боты атакуют форумы соответствующей тематики, а также сайты, занимающиеся продажей персональных данных держателей карт.
Следующие по числу DDoS-атак — сайты, предлагающие абузоустойчивые хостинги и VPN-сервисы для злоумышленников. Это свидетельствует о нешуточной конкуренции среди киберпреступников и легкой доступности для них DDoS-ботнетов.
За полгода работы наши системы зафиксировали атаки с компьютеров, находящихся в 201 стране мира. Однако 90% DDoS-трафика исходило из 23 стран.
Распределение источников DDoS-атак изменилось. В конце первого полугодия в этом рейтинге лидировали США (11%), Индонезия (5%) и Польша (5%). По итогам второго полугодия мы можем выделить несколько новых лидеров: Россию (16%), Украину (12%), Таиланд (7%) и Малайзию (6%). Вклад зомби-компьютеров еще из 19 стран колеблется и составляет от 2% до 4%.
На территории России и Украины нами было замечено появление новых ботнетов, созданных на основе программ, продаваемых на underground-форумах. Что интересно, эти ботнеты стали атаковать цели, расположенные на территории тех же стран, где они сами расположены. До этого мы фиксировали в основном атаки с ботнетов, зараженные машины которых находились в иных государствах, чем атакуемые серверы.
Столь заметное изменение в распределении трафика и попадание РФ и Украины в лидеры связано также с активным применением некоторых мер по защите от DDoS-атак. В частности, одним из приемов по отражению DDoS-атак является фильтрация трафика на основе стран-источников.
Принцип работы очень прост: при обнаружении DDoS-атаки включается система, которая начинает отбрасывать все пакеты, кроме тех, которые идут из определенной страны. Обычно возможность достучаться до сайта оставляют лишь пользователям из той страны, где живет большая часть его аудитории.
Поэтому злоумышленникам, чтобы их трафик не был отфильтрован, приходится создавать ботнеты в определенных странах и использовать их для атак на ресурсы этих же стран. Однако ботнеты, которые работают по «классической» схеме, когда атака ведется с ресурсов, расположенных за пределами той страны, в которой находится атакуемый сервер, продолжают функционировать.
Таиланд и Малайзия являются яркими представителями стран, в которых расположено множество незащищенных компьютеров, но при этом заказов атак на сайты, расположенные в этих же странах, у ботмастеров, по всей видимости, не так уж и много.
Поэтому для киберпреступников этот регион является хорошим плацдармом для развертывания ботсетей. Состав группы стран с показателями 2-4% также изменился по сравнению с первым полугодием. В эту группу вошли всего три страны с высоким уровнем компьютеризации и компьютерной безопасности: Ирландия (2%), США (3%) и Польша (4%). Остальными генераторами паразитного трафика выступили зараженные компьютеры в развивающихся странах, где количество компьютеров на душу населения значительно ниже, а информационная безопасность далеко не на высоте (Мексика (4%), Индия (4%), Пакистан (4%), Белоруссия (3%), Бразилия (3%) и др.).
Распределение атакованных сайтов по категориям интернет-деятельности
Лидером по количеству жертв во втором полугодии остался сегмент интернет-торговли (онлайн-магазины, аукционы, доски объявлений о продаже и т.п.) — на эти сайты пришлось 25% всех зарегистрированных атак.
Ближе к Новому году количество DDoS-атак на сайты, предлагающие различные товары, стало увеличиваться. Чаще всего злоумышленники атаковали магазины, торгующие безделушками для дома, бытовой техникой, электроникой, дизайнерской одеждой для детей и взрослых, а также различными аксессуарами и дорогими ювелирными изделиями. На втором месте — сайты электронных торговых площадок.
Обогащение с помощью нечестных приемов в финансовом мире не новость, и DDoS-атаки являются удачным подспорьем в этом деле. Отметим, что среди прочих во втором полугодии хакеров интересовали сайты, через которые осуществляется размещение заказов для государственных и муниципальных предприятий.
На сайты игровой тематики пришлось 15% DDoS-атак, это на 5% меньше, чем во втором квартале 2011 года. В первую очередь атакам подвергались сайты, предлагающие сервисы по хостингу игровых серверов. За ними по количеству атак идут серверы (чаще всего пиратские) различных онлайн-игр. Наибольшее количество атак злоумышленники провели на серверы MMORPG Lineage2 и на серверы различных клонов ставшей очень популярной в последние месяцы года игры Minecraft. Атаки на СМИ составили 2%.
Среди целей таких атак отметим сайты телевизионных каналов и редакций печатных изданий, расположенные в различных странах постсоветского пространства. Доля атак на государственные сайты постепенно растет, во втором полугодии на них пришлось 2%. Чаще всего в качестве цели хакеры выбирали сайты правительств определенных регионов, а также официальные сайты городов. Мотивы для DDoS-атак на государственные сайты могут быть разными, но в большинстве случаев атаки проходят в знак протеста против действий или бездействия властей.
Всего за второе полугодие нашей системой мониторинга ботнетов было перехвачено более 32 000 команд, инициирующих атаки на различные сайты.