23.11.2025 12:16
VASExperts 0 131 Источник

В начале года мы отметили тенденцию на общий рост количества и мощности кибератак. Сегодня посмотрим, что произошло за последние месяцы — взглянем на актуальные работы исследователей и отчеты профильных компаний по данной теме.

Изображение: gpointstudio; freepik-license
Изображение: gpointstudio; freepik-license

Быстрее, выше, сильнее

Согласно одному из свежих ИБ-отчетов, в начале года был зафиксирован практически четырехкратный рост интенсивности DDoS-атак. Во II квартале злоумышленники, если верить отчету одного из крупных CDN-провайдеров, чуть ослабили хватку — но общий объем атак все равно оказался на 44% выше, чем за аналогичный период годом ранее. По данным российских компаний, специализирующихся на защите от DDoS-атак, первое полугодие также отметилось снижением количества атак и их мощности. Однако уже в III квартале ситуация переменилась: активность злоумышленников начала набирать обороты — число атак выросло более чем на 50% в годовом исчислении.

Учитывая приводимые аналитиками цифры, можно предположить, что в сфере кибербеза складывается неоднозначная динамика, когда всплески DDoS-активности в одном квартале года сменяются спадами в следующем. При этом специалисты по информационной безопасности отмечают и глобальный тренд: индивидуальные DDoS-кампании становятся менее массированными, а хакеры предпочитают точечные удары «ковровым бомбардировкам». Так, команда A10 Network проанализировала данные собственных интернет-сканеров, информацию из открытых источников и отметила, что злоумышленники предпочитают совершать атаки на уровне приложений и API.

Эту оценку подтверждают исследования других профильных организаций. Например, в чешской компании Qrator Labs говорят, что во II квартале число DDoS-атак на уровне приложений возросло на 74% год к году. Для сравнения: атаки на сетевом и транспортном уровнях (L3–L4) за тот же период прибавили всего 43%. По другим данным, разница между количеством атак на L7 и L3–L4 превышала 7,5 раз.

Как меняются подходы к реализации атак

Согласно все тому же отчету компании A10 Network, хакеры используют больше 12 млн инструментов для проведения DDoS-атак. Например, тот же ботнет Eleven11bot применял SYN-флуд, атаки с отражением/усилением, атаки с использованием протокола CLDAP и многие другие. В то же время специалисты отмечают изменения в поведении хакерских группировок: злоумышленники все чаще формируют так называемые DDoS-коалиции — координируют действия, объединяются для достижения каких-то общих целей, хотя обычно функционируют разрознено. Они также обращаются к сервисам и инфраструктуре для проведения заказных DDoS-атак (DDoS-for-hire services).

При этом хакеры продолжают использовать системы ИИ — они влияют на тактику и стратегию атак. В отчете израильской компании, специализирующейся на защите от DDoS-атак, говорится, что интеллектуальные решения позволяют быстрее анализировать трафик и находить уязвимости, способны координировать атаки на лету и даже управлять ботнетами. Также системы ИИ помогают выбирать время для атаки, чтобы в целевой компании работало как можно меньше персонала.

Системы ИИ также могут имитировать действия пользователя, генерируя правдоподобный трафик — так они остаются незамеченными для средств защиты. Подобная мимикрия — отдельная головная боль для ИБ-специалистов. Например, если говорить о защите веб-приложений, то классические механизмы вроде капчи становятся менее эффективными в борьбе с ботами. В сентябре компания SPLX провела эксперимент, чтобы проверить, насколько уверенно современные модели обходят капчи. Для теста использовали коммерческую LLM и агентную систему на ее основе. Лучше всего нейросеть справилась с задачами на логику и распознавание текста, но испытала сложности там, где требовалось работать с изображениями (перетаскивать или вращать).

Примечательные атаки

Специалисты по информационной безопасности, крупные CDN-провайдеры и ИТ-компании зафиксировали несколько по-настоящему масштабных DDoS-атак в этом году.

Изображение: freepik; freepik-license
Изображение: freepik; freepik-license

6,5 ТБит/с. Эту атаку совершил ботнет Eleven11bot в конце февраля. Его засекли исследователи из группы экстренного реагирования Nokia Deepfield. Предполагается, что ботнет состоял из 30 тыс. устройств (хотя одни эксперты говорят, что устройств было в три раза больше, а другие — что в шесть раз меньше). Большинство «зараженных» IP-адресов принадлежали камерам видеонаблюдения из США, Тайваня и Великобритании. Вредонос искал в сети устройства с открытыми портами и взламывал слабые пароли, поэтому специалисты предположили, что он — вариация Mirai.

7,3 Тбит/с. Эту атаку отразил западный CDN-провайдер прошедшей весной. Злоумышленники атаковали 22 тыс. портов на одном IP-адресе (в пике — 34 тыс. портов). Большая часть трафика состояла из UDP-флуда, однако незначительную его часть позже идентифицировали как атаки с отражениями QOTD, Echo и NTP, Portmap, атаки на протокол RIPv1.

15 Тбит/с. В октябре западный поставщик облачных услуг отразил многовекторную DDoS-атаку на узел в Австралии. В ней участвовали более 500 тыс. скомпрометированных устройств из разных регионов — но в основном это были домашние роутеры и камеры из США. Предполагается, что виновником был ботнет Aisuru. Вредоносный трафик представлял собой всплески UDP-флуда, а атакующие использовали случайные порты.

22,2 Тбит/с. Крупнейшая атака, зафиксированная в этом году, также совершенная с помощью ботнета Aisuru. Ковровой UDP-бомбардировке подверглась 31 тыс. портов (в пике, под ударом были 47 тыс. портов). В секунду отправлялось больше 10 млрд пакетов — это как если бы каждый человек на планете обновлял страницу сайта раз в секунду. В целом атака длилась 40 секунд, и была направлена ​​на один IP-адрес европейской сетевой инфраструктурной компании. Источник проследили до более чем 404 тыс. уникальных исходных IP-адресов в более чем 14 автономных сетях (ASN) по всему миру.

Что интересно, атаки подобной мощности привели к тому, что в профессиональном сообществе начинают обсуждать проблему «побочного ущерба». Ботнеты вроде Aisuru и Eleven11bot генерируют огромные объемы трафика, направляя его на целевые системы, но делают это через сети широкополосного доступа, которые сами по себе не являются объектом атаки — просто в них находятся скомпрометированные устройства. В результате масштабные DDoS-кампании создают операционные и репутационные риски для провайдеров и операторов связи. «Так называемый outbound DDoS, вероятно, остается самой незаметной проблемой в ИТ-экосистеме. Но с учетом экспоненциального роста объемов атак неизвестно, как долго мы сможем ее игнорировать» — отмечают в британской службе компьютерной безопасности FastNetMon.

При этом провайдеры сталкиваются не только с проблемой outbound DDoS — им приходится защищать и собственную инфраструктуру, поскольку она сама становится целью атак. Их услугами пользуются сотни и тысячи клиентов: бизнес, некоммерческие организации, государственные структуры, поэтому провайдеры часто получают «удар за компанию». В таком случае одним из инструментов защиты могут быть интеллектуальные анти-DDoS-решения. Например, мы в VAS Experts предлагаем систему AntiDDoS для операторов связи и корпоративных клиентов — с распределенным модулем анализа трафика, способным обрабатывать до 600 млн пакетов в секунду. Используя нейросети и алгоритмы машинного обучения, детектор выявляет аномалии в трафике, классифицирует угрозы, определяет их источники — и блокирует вредоносный трафик.

О чем еще мы пишем в нашем блоге на Хабре:

Комментарии (0)