Число DDoS-атак на объекты в РФ в 2013 г выросло на 178%

Число DDoS-атак на объекты в РФ в 2013 г выросло на 178%

Александр Панасенко

Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 году выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).

Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем, пишет digit.ru.

Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 год превысил 1,3 триллиона рублей.

«В наше время изменилась парадигма ведения военных действий. Взамен традиционных средств на первый план выходит информационное и кибероружие. Нам необходимо в срочном порядке принять меры по предотвращению подобного вмешательства, в первую очередь, за счет создания эффективных отечественных средств информационной инфраструктуры. В России существует богатый опыт разработки и эксплуатации стратегических информационных систем, создания собственных технологий информационной безопасности. Этот опыт необходимо использовать в масштабах страны», — заявила президент НАИРИТ Ольга Ускова.

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

Более 162 тысяч сайтов на WordPressбыли использованы для DDoS-атаки

В последнее время злоумышленники все чаще прибегают к DDoS-атакам, при этом весьма масштабным. В частности, эксперты из Sucuri говорят о том, что в одном из недавних инцидентов безопасности были задействованы более 162 тысяч сайтов на базе WordPress. Известно, что все ресурсы работали с активным по умолчанию протоколом вызова удаленных процедур XML-RPC.

Как утверждают эксперты, атака осуществляется посредством генерации потока запросов Layer 7. При этом все сайты могут отправлять сотни тысяч запросов в секунду.

Судя по всему, большинство запросов содержат случайное значение («?4137049=643182»), необходимое для очистки кэша и полной перезагрузки страницы. По данным Sucuri, подобные атаки весьма успешны, поскольку они способны быстро нарушить работу сервера.

Эксперты компании также уверены, что DDoS-атаки с задействованием сайтов с уязвимостью XML-RPC могут быть более масштабными. Узнать, не является ли сайт частью атаки, можно посредством проверки файла регистрации на наличие POST-запросов к файлу XML-RPC. Также существует база, созданная Sucuri, в которой содержится список задействованных в инцидентах безопасности ресурсов.

Anonymous атаковали сайт GCHQ

Anonymous атаковали сайт GCHQ

Александр Панасенко
Аналитическая компания Netcraft отмечает, что официальный веб-сайт британской разведслужбы GCHQ уже практически сутки находится под DDoS-атакой после того, как хактивисты из группы Anonymous заявили, что намерены провести DDoS-атаку в отместку за то, что GCHQ сама занималась подобного рода атаками.

Напомним, что на прошлой неделе Эдвард Сноуден опубликовал новые данные, из которых следует, что британская разведка негласно атаковала коммуникационные сети, которыми пользовались Anonymous для нападений на MasterCard, Visa, Amazon, Moneybookers и других в рамках проводившейся операции Operation Payback. Новости о проведении DDoS-атак в отношении Anonymous вызвали фурор в среде самой Anonymous и участники этой группы незамедлительно объявили о старте Операции Возмездие и в отношении британской разведки, пишет cybersecurity.ru.

В Великобритании с 2006 года действует обновленная редакция Закона о полиции, в котором четко прописано, что организация и проведение DDoS-атак являются незаконными и влекут за собой соответствующие юридические последствия. При этом, в документах Сноудена говорится, что GCHQ занималась и другими сомнительными с точки зрения законности действиями в отношении разных международных структур.

Netcraft отмечает, что на данный момент большая часть мусорного трафика в адрес сайта gchq.gov.uk исходит с территории Румынии и обслуживается контент-сетью провайдера Limelight Networks.

За минуту участия в DDoS-атаке американец заплатит штраф в $183 тыс.

За минуту участия в DDoS-атаке американец заплатит штраф в $183 тыс.

38-летний Эрик Росол (Eric Rosol) из Висконсина, США, был приговорен к двум годам тюремного заключения условно, а также к выплате штрафа в размере $183 тыс. за то, что он поддержал DDoS-атаку на сайт компании Koch Industries в 2011 году. Напомним, что нападение проводилось по инициативе активистов из группировки Anonymous.

Известно, что участие Росола в атаке длилось всего одну минуту. Он атакова IP-адрес 146.209.131.43 при помощи программы LOIC (Low Orbit Ion Cannon). После DDoS-атаки сайт Kochind.com был недоступен на протяжении 15 минут. Впоследствии руководство Koch Industries приняло решение об использовании услуг консалтинговой фирмы для защиты сайта от DDoS-атак. За работу специалистов Koch Industries заплатила $183 тыс.

По утверждениям самого Росола, он принял участие в DDoS-атаке из-за того, что Koch Industries выделяет средства на научные исследования на тему отсутствия глобальных изменений в мировом климате. Отчет с данными о такой деятельности компании был опубликован организацией «Green Peace».

Защитники Росола уверяют, что размер штрафа, назначенного их клиенту, слишком велик, потому что он не принимал активного участия в атаке.

Объемы и мощность DDoS-угроз продолжают расти

Объемы и мощность DDoS-угроз продолжают расти

 Автор: Евгения Ударцева

Согласно исследованиям, проведенным Arbor Networks в третьем квартале текущего года, мощность и количество DDoS-атак продолжают неуклонно расти. По сравнению с 2012 их количество возросло на 350 %. Зафиксировано и увеличение количества задействованных в инцидентах компьютеров.

Благодаря системе мониторинга ATLAS удалось проследить «эволюцию» показателей  за три квартала текущего года. Представитель компании Даррен Энсти резюмирует: «Чем больше провайдеров к нам подключается, тем полнее наша картина происходящего. Именно так мы зафиксировали увеличение объемов DDoS-атак».

ATLAS – инновационная система мониторинга, работающая благодаря сотрудничеству поставщиков услуг с Arbor Networks. Првайдеры предоставляют трафик для выявления вредоносных программ. Данные, полученные ATLAS, анализируются и сопоставляются с данными других организаций безопасности. В итоге система получает довольно четкую картину об угрозах для инфраструктуры Интернета.

Исследование трафика показало: во втором квартале пиковая нагрузка во время DDoS-атаки составила 47 Тбит/с IPv4-трафика, а в третьем показатель уже был равен 69 Tбит/с. Мощность 54% атак в этом году превысила 1 гбит/c, 37% преодолели диапазон от 2 до 10 Гбит/c и 44% показали более 10 Гбит/с.

В 2013 году средняя мощность DDoS-атак держится на уровне 2,64 Гбит/с. А их  продолжительность преследует тенденцию к сокращению времени активности: 87% из них длились менее часа.

Пиковое число DDoS-атак в день в России в 2013 году выросло в 2 раза

Пиковое число DDoS-атак в день в России в 2013 году выросло в 2 раза

Александр Панасенко

Максимальное число DDoS-атак в день в России выросло в 2013 году в 2 раза — до 151 атаки по сравнению с 73 атаками в прошлом году, сообщил Александр Лямин, генеральный директор компании Highloadlab, занимающейся защитой от кибератак, на конференции Infobez 2013.

По его словам, увеличилось и среднее число DDoS-атак в день — 19 атак в 2013 году против 9 атак в 2012 году, однако максимальная длительность одной DDoS-атаки в России уменьшилась до 22 дней по сравнению с 83 днями в прошлом году, пишет digit.ru.

Эксперт отметил, что максимальный размер ботнета (сеть компьютеров, зараженных вредоносной программой, которая позволяет киберпреступникам удаленно управлять зараженными машинами без ведома пользователя) в России в текущем году составил 136,6 тысячи персональных компьютеров (ПК) против 148,5 тысячи ПК в 2012 году, размер среднего ботнета также уменьшился и составил чуть более одной тысячи ПК.

По данным компании Group-IB, доход злоумышленников, организующих DDoS-атаки, в России в 2012 году снизился на 15,4% — до 110 миллионов долларов по сравнению со 130 миллионами долларов в 2011 году.

Первая DDoS-атака 100 Гбит/с без DNS-умножения

Первая DDoS-атака 100 Гбит/с без DNS-умножения

В марте этого года мы наблюдали первую в истории DDoS-атаку мощностью более 100 Гбит/с. Тогда, в марте, такой поток трафика нападающие смогли сгенерировать, используя умножение запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера и часто плохо сконфигурированы, то есть открыты для внешних запросов.

Злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне. Вы можете отправить такой запрос размером 64 байта (dig ANY isc.org x.x.x.x) и сгенерировать ответ 3223 байта.

Актуальный список открытых резолверов всегда можно найти здесь.

24 сентября 2013 года состоялась новая DDoS-атака мощностью 100 Гбит/с, которая продолжалась девять часов, сообщает компания Incapsula. При этом она не назвала URL сайта своего клиента, жертвы атаки.

В нынешней DDoS-атаке удивительно то, что атакующие вовсе не использовали резолверы, так что это первая в истории атака подобной силы без умножения запросов. Получается, что у кого-то есть в наличии каналы суммарной пропускной способностью аж 100 Гбит/с. Если бы они использовали умножение запросов, то могли бы увеличить трафик в десятки раз.

Эксперты “Лаборатории Касперского” выявили усиление мощности DDoS-атак в Рунете

Эксперты “Лаборатории Касперского” выявили усиление мощности DDoS-атак в Рунете

Специалисты “Лаборатории Касперского” провели анализ DDoS-активности в Рунете за период со второго полугодия 2012-го до первого полугодия 2013-го. Эксперты выявили, что за последние 12 месяцев значительно усилилась мощность атак и увеличилась их продолжительность.

По оценкам антивирусных экспертов, отличие показателей по DDoS-активности в России и мире стремительно сокращается: “Рунет перестает быть своего рода “заповедником”, где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика”.

Так, средняя мощность DDoS-атаки в Рунете во второй половине 2012 г. составляла 34 Мб/с, тогда как в начале 2013 г. этот показатель увеличился до 2,3 Гб/с. Максимальная мощность атак в первом полугодии 2013 г. доходила до 60 Гб/с, во втором полугодии 2012 г. она составила всего 196 Мб/с. Также специалисты выявили, что средняя атака в Рунете в отчетном периоде длилась до 14 часов. В прошлом отчетном периоде средняя продолжительность атаки, зафиксированная “Лабораторией Касперского”, составляла 7 часов.

По данным экспертов, около 44% атак на веб-ресурсы Рунета ведется непосредственно с территории России. В отчете также отмечается, что около 7,5% источников DDoS-атак на российские сайты находится в США и около 5% — на Украине. Из десяти стран, фигурирующих в рейтинге специалистов “Лаборатории Касперского”, семь находятся в Азии — это Индонезия, Индия, Вьетнам, Казахстан, Иран, Таиланд, Филиппины.

Антивирусные эксперты обратили внимание на то, что хакеры используют различные виды атак и часто их комбинируют. В настоящее время они научились применять такие инструменты, которые могут выводить из строя не только конкретный ресурс и отдельного провайдера, но и весь сегмент Сети.

Руководитель проекта Kaspersky DDoS Prevention “Лаборатории Касперского” Алексей Афанасьев наиболее эффективной защитой от мощных атак назвал фильтрацию UDP-трафика для конкретного IP-адреса на пограничном оборудовании вышестоящего провайдера. “Основная сложность здесь состоит в том, что пограничное оборудование многих провайдеров таких функций просто не имеет, поэтому компаниям-клиентам они не доступны. И если при планировании сетей провайдеры не будут учитывать опасность DDoS-атак, ситуация будет лишь ухудшаться: мощности атак будут расти, и мы продолжим наблюдать падение целых провайдерских сетей, хостингов и даже сегментов Интернета”, — предупредил он.

Атаки на системы онлайн-банкинга маскируют за DDoS

Атаки на системы онлайн-банкинга маскируют за DDoS

Александр Панасенко

Эксперты говорят, что обнаружили новую стратегию хакерских атак, направленных на средства со счетов в системах онлайн-банкинга. Для маскировки одной хакерской атаки злоумышленники начинают использовать другую — DDoS-атаку. В компании Gartner говорят, что обнаружили случаи краж со счетов в системах онлайн-банкинга под прикрытием DDoS-атак.

В компании говорят, что выявили минимум три случая атак на американские банки, когда авторы нападений запускали искусственные DDoS-атаки на серверы банков, а под их прикрытием проводили вторжения в системы онлайн-банкинга, дольше оставаясь незамеченными, так как ИТ-персонал занимался отражением DDoS-атак. В Gartner не говорят, какие именно американские банки пострадали от атак, однако за последние несколько месяцев целая группа американских банков, в том числе JP Morgan , Wells Fargo, Bank of America, Chase, Citigroup, HSBC, сообщала о проводимых в их отношении DDoS-атаках, пишет cybersecurity.ru.

«Это не были политически мотивированные группы. Организаторы ставили своей целью вывести сайты банков из строя всего на несколько часов, то есть сама DDoS-атака не была их конечной целью», — говорят в Gartner.

«Когда DDoS-атака в самом разгаре, группа мошенников переключается на атаку платежных систем и систем онлайн-банкинга, пытаясь получить расширенные привилегии в системе», — говорят в компании. Также в отчете Gartner сказано, что во время атак организаторы почти всегда пытаются получить доступ к сетевому оборудованию, отвечающему за передачу транзакций.

В отчете Gartner не говорится, как именно злоумышленники получали доступ к системам онлайн-банкинга, однако дается совет банкам: при возникновении DDoS-атак снизить или вообще отменить проведение финансовых транзакций, а также реализовать многослойную систему защиты ИТ-периметра.

Напомним, что ранее в финансово-экономическом подразделении ФБР США заявили о росте DDoS-активности в американской банковской сфере, а также рассказали, что обнаружили в интернете серию 200-долларов программных наборов для наиболее популярных атак систем онлайн-банкинга.

ЛК: Зафиксирован рост мощности DDoS-атак в Рунете

ЛК: Зафиксирован рост мощности DDoS-атак в Рунете

Согласно данным специалистов «Лаборатории Касперского», им удалось зафиксировать увеличение мощности DDoS-атак в Рунете в первом полугодии 2013 года.

Так, ИБ-эксперты сообщают, что в апреле этого года мощность кибератак составила 10 Гб/с и выше. При этом, утверждают в «ЛК», во второй половине 2012 года средняя атака подобного рода имела мощность 109 Мб/с, а максимальная не превышала 2,9 Гб/с

«Этот факт позволяет сделать вывод о том, что злоумышленники сменили приемы и взяли на вооружение более сильнодействующие инструменты», — отметили в компании.

Под мощностью DDoS-атаки эксперты понимают количество трафика в секунду, который направляют на атакуемый интернет-ресурс.

«DDoS-атаки малой мощности были особенностью всего Рунета, поскольку атаки в 1Gb вполне хватает, чтобы «положить» практически любой незащищенный российский сайт. Однако в первом квартале 2013 года ситуация изменилась: мощность некоторых DDoS-атак в Рунете резко возросла», — сообщили ИБ-эксперты.

«В пиковые моменты DDoS-атак страдали целые провайдеры и, следовательно, их клиенты», — подытожили в «ЛК».