Нападение реализовано через новый ботнет, маскирующийся под обычных пользователей
Высокопоставленный источник в «Яндексе» сообщил «Ведомостям», что в минувшие выходные на серверы компании была совершена самая крупная DDoS-атака в истории рунета. Рекордный масштаб кибератаки был подтвержден американской компанией Cloudflare, которая специализируется на отражении кибератак и сотрудничает с «Яндексом».
Другой источник в «Яндексе» подтвердил эту информацию, отметив, что компания с трудом сдержала DDоS-атаку и она продолжается на этой неделе. Особенности кибератаки собеседники «Ведомостей» не раскрыли, сославшись на внутреннюю проверку.
«Мы проводим расследование вместе с подрядчиками, – пояснил собеседник «Ведомостей» в компании. – Речь идет об угрозе инфраструктуре в масштабах страны». Он не смог сказать, обратились ли представители «Яндекса» с заявлением в полицию или ФСБ.
Официальный представитель «Яндекса» подтвердил информацию об атаке. «На «Яндекс» действительно была осуществлена DDoS-атака, которую отразили наша сетевая инфраструктура и система фильтрации нежелательных запросов. Атака не повлияла на работу сервисов, данные пользователей не пострадали», – сообщили «Ведомостям» в компании, не сообщив дополнительных подробностей.
«Ведомости» направили запросы в Cloudflare, МВД, ФСБ России и Роскомнадзор, на момент сдачи номера ответов не получено.
В августе и сентябре 2021 г. наблюдается рост числа DDoS-атак на компании из самых разных секторов экономики – от небольших бизнесов до крупнейших корпораций, рассказал «Ведомостям» Александр Лямин, гендиректор компании Qrator Labs, специализирующейся на защите информационной инфраструктуры.
«Заказчики этих атак разные, а вот исполнитель, судя по всему, один, и оперирует он недавно появившимся в индустрии ботнетом, – утверждает Лямин. – Некоторые игроки в отрасли уже заявили, что к нам вернулся ботнет Mirai, нашумевший пять лет назад и построенный на основе видеокамер. Посвятив изучению нового ботнета последние несколько недель, мы можем утверждать, что появился совершенно новый ботнет и построен он на сетевом оборудовании одного очень популярного вендора из Прибалтики. Он распространяется через уязвимость в прошивках и уже насчитывает до сотни тысяч зараженных устройств».
Другой эксперт в области информбезопасности рассказал, что речь идет о роутерах латвийской компании MikroTik – оборудование этого производителя могло быть использовано для организации нового ботнета.
Представитель MikroTik заявил «Ведомостям», что в их собственной операционной системе RouterOS ранее была обнаружена уязвимость, но она была устранена в 2018 г.
«Многие устройства все еще работают на старом ПО, но предупредить об этом каждого пользователя на планете сложно», – отметил представитель MikroTik.
Как сообщалось в блоге MikroTik, в апреле 2018 г. компания обнаружила уязвимость, которая позволяла запросить файл базы данных пользователей системы, используя специальный инструмент.
«Нам неизвестно о каких-либо новых уязвимостях, с тех пор как упомянутая была устранена, RouterOS тщательно изучается независимыми аудиторскими компаниями», – сообщил представитель MikroTik.
Использование уязвимых устройств – распространенный способ организации DDoS-атак, констатирует собеседник «Ведомостей» в крупной интернет-компании: «Какие-то сервисы могли пострадать. Большие DDoS-атаки приводят к тому, что крупные интернет-сервисы могут деградировать».
В последние дни сообщалось о нескольких массированных DDоS-атаках на российские компании.
1 сентября зампред правления Сбербанка Станислав Кузнецов сообщал, что на прошлой неделе (с 23 по 29 августа. – «Ведомости») «Сбер» успешно отразил самую мощную DDоS-атаку на финансовый сектор: «У нас не было ни остановки, ни приостановки ни на одну секунду наших сервисов, но мощность атаки позволяет сделать вывод о том, что, не имея такой защиты, как у нас, другие организации точно, к сожалению, могли бы остановить свою работу».
3 сентября «Коммерсантъ» сообщил о сбое в работе соцсети «В контакте». По данным Downdetector, жалобы на проблемы с доступом к соцсети начались 2 сентября вечером, у большинства пользователей тогда не открывался сайт.
Также 2 сентября, согласно Downdetector, пользователи жаловались на сбой при заходе на сайт «Яндекса» и в почту сервиса.
Представители «В контакте» и Mail.ru Group не ответили на запросы «Ведомостей».
Активность нового ботнета Qrator Labs наблюдает не только в России, но и в Европе, США, Индии, на Ближнем Востоке, в регионе APAC, в Латинской Америке, отмечает Лямин: «Атаки коснулись крупнейших банков, e-commerce компаний, интернет-сервисов по всему миру, и ущерб от них уже вышел на уровень миллиардов рублей».
По числу запросов в секунду этот ботнет ставит абсолютные рекорды, развивая потрясающие скорости – в десятки миллионов запросов в секунду, что превышает скорости рядовых атак прошлых лет на два порядка, отмечает Лямин: «Трафик может максимально походить на трафик обычных пользователей, поэтому с ней [атакой] справляются не все представленные на рынке решения, защищающие от DDoS-атак».
Основной целью DDoS-атак в России являются компании из сферы развлечений (40,76% инцидентов, по данным Statistа за 2020 г.). С кибератаками также сталкивались телекоммуникационные компании (29,27%), онлайн-ритейл (11,94%), строительные (6%), финансовые (4,56%), образовательные (3,61%) и сервисные организации (2,68%).