След кибератаката срещу "Икономедиа" – какво се крие зад нападението

През последната седмица станахме свидетели на нови атаки, опитващи се да блокират (временно) достъпа до онлайн ресурси в България, включително до сайтовете на "Икономедиа" - Digitalk, "Капитал" и "Дневник". Атаките са от типа DDoS (Distributed Denial of Service Attack) и са били насочени към различни организации у нас, като по същото време са засечени и подобни пробиви в Полша и Украйна. Сред пострадалите са сайтовете на украинското външно министерство и министерството на образованието, а в Полша обект на атаки са били уебстраниците на министри и членове на различни политически партии. Дали кибернападенията са свързани и кой стои зад тях е трудно да се разбере, но случаите се разследват от компетентните органи, споделят колегите от "Капитал".

Атаките от миналата седмица обаче отново извадиха на дневен ред важността на киберзащитата и дадоха повод да си припомним какво представлява DDoS, как да се защитим и как да отразим подобни заплахи.

Удар по приходите и по имиджа

Атаките към сървъри, приложения и/или мрежови капацитет са разпределени, т.е идват от множество източници по света. При този тип DDoS атаки (Distributed Denial of Service Attack) се компрометират системите на бизнес организациите пред техни клиенти и партньори и често могат да причинят напълно отпадане на мрежовата им инфраструктура и интернет сайтове, а това води до загуба и на приходи, и на имидж. В този смисъл защитата на ИТ инфраструктурата на бизнес организациите е особено важен елемент от сигурността и е от огромно значение за ефективността на ежедневните оперативни дейности.

В последните годни световният тренд е към увеличаване на честотата и силата на DDoS атаките и България не прави изключение от тази тенденция. Според Михаил Семерджиев, старши мениджър "ICT услуги" в "А1 България", в мрежовия оперативен център на А1 (NOC) такива атаки се забелязват почти ежедневно. "Големите като обем и съответно сила атаки, които затрудняват нашата инфраструктура, се случват по-рядко, около 3-4 пъти месечно. На дневна база се засичат по 5-6 атаки с по-малък капацитет", добавя той.

Как работят DDoS атаките?

Разпределените атаки тип "отказ от обслужване (DDoS) използват мрежи от свързани към интернет устройства, за да "отрежат" достъпа на потребителите до сървъри и мрежови ресурси като уебсайтове или приложения. За да стартират DDoS атака, нападателите разчитат на зловреден код или се възползват от уязвимости в сигурността, за да получат контрол над такива уязвими машини и устройства, включително IoT устройства като уеб камери, принтери и др. Всички тези заразени устройства (наричани често "зомбита"), могат да бъдат включени в DDoS атаки, като армията от бот мрежи може да активира десетки, дори стотици хиляди "зомбита".

Семерджиев от А1 България коментира, че DDoS атаките представляват синхронизирано и едновременно генериране на IP пакети от множество клиентски машини, обединени в BotNet мрежа, под общ контрол. Според него, броят на заразените машини, част от бот мрежи под единно управление, може да бъде от няколко десетки до стотици хиляди, а в някои случаи са и много повече. Те са способни в даден момент едновременно да изпращат заявки от всякакъв тип трафик към посочен сървър или набор от сървъри. "Целта най-често е да се предизвика отказ на определени услуги, да се изведат ИТ системи от нормален режим на експлоатация, или да се запълни капацитета на мрежови канали. Възможни са и много други злонамерени цели", обяснява Михаил Семерджиев.

"DDoS или "отказ на услуга" е атака, която забавя или напълно преустановява достъпа до предлаганата интернет услуга чрез препълване на комуникационния канал с информация. Така обслужващият сървър не може да отговори на всички заявки до него или отговаря с голямо закъснение. Обикновено този тип атака първо се забелязва при доставчика на комуникационния (мрежовия) канал като необичайно висок трафик по мрежата към атакувания сървър. Ако атаката е свързана с много заявки към апликацията, обслужваща определената електронна услуга, следи от нея може да се открият в дневниците на работата на апликацията", коментира Борислав Сестримски, мениджър "Оценка и гарантиране на сигурността" в DIGITALL.

Защо и кого атакуват най-често?

Причините за стартиране на DDoS атаки срещу компании и правителствени организации са различни, но най-честите са хакерски атаки, мотивирани от политически и социални причини, опити за привличане на клиенти от конкурентен бизнес. Вече има и т.нар. държавно спонсорирани атаки, стремящи се да доведат до икономически и социални трусове. Често се случват DDoS атаката да се използва като вид "димна завеса", която да прикрие по-вредна и по-усъвършенствана атака за кражба на данни, средства и др. Засилва се и тенденцията за искане на откуп за спиране на този тип атака, вариант, подобен на атаките с криптовируси, при които се заключват с непробиваем код важни данни на атакуваната организация.

DDoS атаките бързо се превръщат в най-разпространения тип киберзаплаха, като нарастват бързо през последните години, както по брой, така и по обем. Тенденцията е към по-кратка продължителност на атаката, но по-голям обем по отношението на броя пакети в секунда.

Семерджиев очертава 4 основни направления, които мотивират кибернападателите - определена идеология, бизнес мотиви, изнудване и дори скука. Тези, при които водеща причина за извършване на кибернападение е идеологията, т.нар. наречените "хактивисти", използват DDoS, като средство за атака на уебсайтове, с чиито идеи не са съгласни. Бизнес организации могат да използват DDoS атаки, за да навредят на стратегически уебсайтове на конкуренти, например, за да ги възпрепятстват да участват в значимо събитие като "Черен петък", "Киберпонеделник" и т.н. При третото направление извършителите използват DDoS атаки или заплаха от DDoS нападение като средство за изнудване за пари. Има и кибервандали, които използват предварително написани скриптове за стартиране на DDoS атаки. Това са обикновено потенциални хакери, търсещи прилив на адреналин от отегчение, допълва специалистът.

Според наблюденията на А1 тенденциите у нас не се различават съществено от световните. DDoS атаките най-често са насочени срещу държавни организации, финансови организации, като банки и застрахователни компании. Тяхна цел могат да са също и компании, които предлагат онлайн услуги, като онлайн магазини, уебсайтове с възможност през тях да се правят поръчки, онлайн банкиране и др. Застрашени са също и образователни институции като университети, медийни компании и агенции, компании за разработка на софтуер. Не на последно място са частните лица, които използват "тъмната мрежа" (Dark Web) и различни платформи за онлайн гейминг.

Цена на атаката

Цените, на които може да се поръча атака, варират между $15 и $1000 в зависимост от това колко защитен е уебсайтът, каква е честотата на заявките за секунда и за колко дълъг период трябва да бъде поддържана атаката (час, ден, седмица или месец). Това показват данните от Dark Web Price Index 2021, публикуван в Privacy Affairs.

Типове DDoS атаки

Има различни типове DDoS атаки и нападателите често използват повече от един тип, за да засилят въздействието върху набелязаната мишена. Трите основни типа атаки са с изпращане на огромен брой заявки (генерирайки блокиращ ресурсите трафик), по специфичен протокол и към приложенията. Целта на всички тях е забавят сериозни легитимния трафик и той да не достигне до своето предназначение или направо да го спрат. Това може да означава да се попречи на потребителя да достъпва уебсайт, да си купи продукт или услуга, да гледа видео или да взаимодейства в социална медия. Допълнително ако ресурсите станата недостъпни или работят много бавно, компанията няма да може да работи нормално, тъй като нейните служители може да нямат да имат достъп до електронна поща, уеб приложения и други ресурси.

Как да се предпазим от тези DDoS атаки?

Високопроизводителна и с голям капацитет анти-DDoS защита на облачни решения могат да попречат на злонамерен трафик да достигне до уебсайта или да попречи на комуникацията чрез уеб API. Облачно базираните услуги за почистване на трафика могат да смекчат атаките, насочени към не-уеб активи като мрежова инфраструктура.

"Защитата е свързана с подсигуряването на мрежов и апликационен ресурс, който може да абсорбира атаката и да продължи да работи пълнофункционално. Методите за всяка DDoS атака са различни и може да включват филтриране на трафика, ограничаване на цели зони за достъп, пренасочване на трафика, скалиране на апликационните ресурси и др.", коментира Сестримски от DIGITALL.

"Опитът с клиентите, с които работим, показва, че случайните жертви на DDoS атака са по-скоро рядкост. Такива нападения обичайно са насочени към компании, които имат онлайн или публични услуги, споделя Михаил Семерджиев. - Съветваме компаниите да направят оценка на риска при тотална загуба на онлайн свързаност и в зависимост от сериозността на резултата, да обмислят използване на допълнителна специализирана защита от DDoS."

Според него, е важно компаниите знаят, че използването на мрежова услуга е значително по-ефективно от инсталирането на оборудване за DDoS защита в офиса. Причината е, че оборудването е с ограничен капацитет за неутрализиране на DDoS атаки и за да се постигне ефикасна защита, е необходимо да се инсталират множество скъпоструващи устройства. "От друга страна, мрежовата услуга разчита на специално разработени за целта платформи, които могат да неутрализират атаки от порядъка на терабити в секунда, каквито са нападенията в последните години", допълва Семерджиев.

За справяне с такава атака една институция ще трябва да инвестира стотици хиляди евро в инфраструктура. Съвременните платформи за защита от DDoS предлагат и допълнителни инструменти за управление и мониторинг на услугата като проактивно известяване при атака или уеб базиран интерфейс, чрез който клиентите могат да следят поведението на услугата и да получат нагледна информация за атаките към тяхната инфраструктура.

Какви щети носи подобна атака?

DDoS атаките са основната причина една организация да остане офлайн от няколко часа до няколко дни, а в някои случаи със седмици могат да продължават временни прекъсвания. Ако подобен тип заплаха не бъде предотвратена, то тя може да засегне бизнеса ви по няколко ключови начина.

Загубите от прекъсването на дейност са както финансови, така и репутационни. Според повечето изследвания стойностите варират между 20 и 50 хиляди долара на атака, спрямо сектора, в който работи организацията. Тези шети могат да се изчислят сравнително бързо:

Какви са ежечасовите приходи на бизнеса? Спирането им е част от преките загуби за компанията. Когато се вземе предвид, че справянето с атаката отнема на 45% от компаниите между 3 часа и повече от 24 часа, сумата скача допълнително.
Ако става дума за онлайн бизнес последствията могат да бъдат още по-сериозни. Например 20 атаки за 30 дни могат да свалят потребителския уеб трафик с 35%. Това се равнява на 60% спад в онлайн покупките и 40% увеличение на прекъснатите процеси на пазаруване. С това нараства вероятността клиентите да се пренасочат към конкурент и да бъдат изцяло загубени за пострадалата фирма.
Оперативните загуби, докато екипът се опитва да ръководи процесите по време на атаката. А поправянето и възстановяването на услугите може също да се окаже скъпо.
DDoS атаките могат да бъдат придружени от искане на откуп, за да се оттегли заплахата или да се прекрати атаката. Но в допълнение към финансовите загуби, плащането на откупа може да има негативни последствия и да доведе до нови атаки в бъдеще.
Не на последно място фирмата може да бъде изправена пред юридически последствия в случай на нарушаване на споразумението за ниво на обслужване, както и да бъде държана отговорна за клиентските загуби. В зависимост от типа бизнес може да става дума също така за глоби поради липса на съответствие.

"Загубите обикновено са по-скоро репутационни, казва Сестримски. - Невъзможността клиентът да си свърши плануваната работа, да направи резервация или да ползва банковия си акаунт, например, го кара да се разколебае да използва в бъдеще услугата и да търси конкурентни алтернативи. Добрата маркетингова и комуникационна стратегия би изиграла важна роля при задържането на "недоволните" клиенти. Разбира се, тази стратегия трябва да е готова преди DDoS атаката да се случи и да е част от стратегията на компанията за киберсигурност и устойчивост на киберзаплахи", допълва той.

Как се процедира при мощна (терабитова) DDоS атака?

Има два основни подхода за справяне с големи DDoS атаки - Black Holing и активно филтриране, обяснява Семерджиев от А1. Между големите интернет доставчици има изградена нерегулирана система от правила, която позволява на всеки от тях да маркира префиксите (адресите), които са обект на атака и това да укаже на неговите доставчици, че той не желае да получава трафик за тези адреси. Този метод се нарича Remote Triggered Black Hole (RTBH). В резултат атаката е отразена, но атакуваният IP адрес или мрежови префикс остава без международна свързаност, а в по-тежките случаи и без локална свързаност."

RTBH може да бъде поискана от клиента, жертва на атаката, но може и да се активира и от доставчика при претоварване на критична инфраструктура, за да се намали броят на засегнатите клиенти. "Истинското отразяване на атаки става в така наречените DDoS scrubbing центрове, които разполагат с достатъчно изчислителен и мрежови капацитет, за да поемат целия трафик на атаката, да го анализират и да върнат към клиента само легитимния, "изчистен" трафик. Тези услуги работят в два режима - always on, при който трафикът на клиента минава през цялото време през DDoS scrubbing центъра, или on-demand - трафикът се насочва към центъра само при нужда", добавя Семерджиев.

Да действаме превантивно

Предварителните мерки за предпазване от кибератаки са от огромна важност, тъй като те могат да засегнат организации от всякакви индустрии и мащаб и да имат опустошителен ефект. Затова е важно компаниите да инвестират в превенция. А1 съветват застрашените организации да имплементират DDoS защита чрез мрежова услуга, която извършва предварителна проверка на трафика по редица критерии, заложени в логиката на услугата. По този начин се пропуска само легитимния трафик към мрежата на клиента, а нетипичният и потенциално опасен трафик се филтрира. За да се активира услугата, е необходимо трафикът да се пренасочи през специална платформа, т.нар. scrubbing center, в която се извършва филтрирането.

Как се пази критичната инфраструктура?

"Най-популярният начин за предпазване на критичната инфраструктура е гарантирането на скалируемост на хардуерните и мрежови ресурси. Това се постига изключително лесно в облачните технологии. Поради тази причина услугите, предоставяни чрез облачни технологии, са много по-устойчиви на DDoS атаки", твърди Борислав Сестримски.

"За защита на критична инфраструктура се изисква наличието на Security Operations Center, от който да се управлява отразяването на атаки и опити за пробиви. А1 работи тясно с държавните структури като "Информационно обслужване", Министерски съвет, МВР и други, като съдействаме според вида и типа на атаката. Начините на действие не се различават от гореописаните, но координацията е по-добра и се работи по предварително одобрени процедури и канали за ескалации", допълва Семерджиев.

По-известните типове DDoS атаки

Нападателите използват различни техники, подсилващи изпращаните заявки, или предизвикващи ответна реакция от атакуваната мрежа или услуга. "Атаките най-общо могат да бъдат разделени на два типа - волуметрични и атаки, насочени към приложенията на клиента. Волуметричните DDoS атаки представляват затрупване на "жертвата" с непоискан трафик от много географски разпръснати източници и с голям обем. Технически най-често срещаните и най-прости атаки от този тип са DNS Amplification, NTP Amplification, TCP SYN Flood, UDP Floods, ICMP Floods. Всяка атака се отразява по-различен начин, но общото е, че те изискват допълнителен изчислителен ресурс и огромен мрежови капацитет. За организациите, при които има риск от сериозни последствия, ако останат без онлайн свързаност, препоръчваме закупуването на допълнителна DDoS защита, каквато е нашата услуга", твърди Семерджиев.

Атаките към приложенията обикновено нямат еднозначен вариант за решение и предпазване. "Те са комплексни и при тях защитата може да бъде от няколко различни системи - DDoS защити, Web Application Firewall, регулярни проверки на сигурността на приложенията и др. В А1 предлагаме услуги за киберсигурност и те заемат все по-важно място в портфолиото ни от ICT решения, тъй като ускоряването на дигитализацията в последните 2 години доведе до отваряне на много бизнеси към интернет. Наред с позитивите от тази дигитализация, паралелно се развиват и злонамерените кибератаки", добавя Семерджиев.

Атаки с изпращане на огромен трафик (волуметрични)

При тях целта е мрежовите връзки на жертвата да се препълнят с огромни количества трафик, като по този начин се блокират легитимните потребители и те не могат да стигнат до приложения или услуги. В зависимост от мишената, спирането на легитимния трафик означава, че клиент на банка например не може да си плати навреме битова сметка, а потребители на е-магазин не могат да осъществят онлайн транзакции, пациентите не могат да видят своите електронни рецепти или сертификати за ваксиниране, а родители - да запишат детето си в детска градина например. Каквато и да е организацията, блокирането на достъпа на хора до услуга, която те очакват да получат онлайн, има негативен ефект.

Атаките с изпращане на огромно количество трафик от армията от отделни заразени устройства "зомбита" препълват целия наличен мрежови капацитет до системите. Тъй като ботовете превземат легитимни устройства, за да усилят DDoS атаката, злонамереният трафик е труден за откриване от жертвата.

UDP Flood. При нея нападателите се опитват да претоварят портове на атакувания сървър чрез IP пакети, съдържащи UDP протокол без състояние. След това хост машината на жертвата търси приложения, които са свързани с UDP пакетите, и когато не бъдат намерени, изпраща обратно на подателя съобщението "Destination Unreachable" (т.е. няма достъп до този ресурс). IP адресите често се фалшифицират, за да се анонимизира нападателят и след като целевият хост бъде залят с трафик, системата става недостъпна за легитимните потребители.
DNS усилване/ отразяване (DNS Amplification/Reflection). Тези атаки са често срещан атакуващ вектор за киберпрестъпници, които подправят IP адреса на своята мишена, за да изпращат големи количества заявки до отворени DNS сървъри. В отговор тези DNS сървъри отговарят на злонамерените заявки от фалшивия IP адрес, като по този начин създават атака срещу предвидената мишена чрез големи потоци от DNS отговори. Много бързо големият обем трафик, създаден от отговорите на DNS, претоварва услугите на организацията жертва, а това ги прави недостъпни и пречи на легитимния трафик да достигне до желаната дестинация.
ICMP flood. Протоколът Internet Control Message Protocol (ICMP) се използва предимно за изпращане на съобщения за грешки и типично не обменя данни между системите. Пакетите ICMP може да придружават TCP пакетите, които дават възможност на приложенията и на компютърните устройства да обменят съобщения през мрежата, когато се свързват със сървър. ICMP flood е метод за DDoS атака към инфраструктурния слой (L3) на мрежата, който използва съобщенията ICMP, за да претовари пропусквателния капацитет на нападната мрежа.

Атаки към протоколи

Този тип атаки се опитват да "изтощят" изчислителния капацитет на различни мрежови инфраструктурни ресурси като сървъри или защитни стени чрез зловредни заявки за свързвания, които експлоатират протоколните комуникации. Синхронизираните (SYN) потоци и Smurf DDoS са двата най-често срещани DDoS атаки, базирани на протокол. Тези атаки могат да бъдат измерени в пакети за секунда (pps), както и в битове за секунда (bps).

Атака SYN flood. Един от основните начини хората да се свържат към интернет приложенията е чрез протокола за контрола на преноса TCP. Тази връзка изисква тристранен "поздрав" от TCP услугата - като уеб сървър - и включва изпращане на синхронизиращ (SYN) пакет от мястото, от което потребителят се свързва със сървъра, който след това връща пакет SYN-ACK (потвърждаване на синхронизирането), на който в крайна сметка се отговаря с окончателна ACK (потвърждение) комуникация обратно за завършване на TCP "поздрава".

При атака SYN flood зловреден клиент изпраща огромно количество пакети SYN (част първа от обичайния поздрав), но никога не изпраща обратно потвърждение за завършване на това договаряне. По този начин сървърът остава в режим на изчакване на отговор на тези полуотворени TCP връзки, а това може да запълни капацитета и машината може да не приема нови заявки за връзки от легитимни услуги.

Атаката SYN flood може да бъде оприличена на абсолвентите от голям университет, в който всеки студент се обажда на една и съща пицария и си поръчва пица по едно и също време. След приготвяне на пиците когато доставчикът опакова поръчките, осъзнава, че има твърде много кутии, които не може да събере в колата си, а освен това няма адреси, на които да направи доставките, така че всички доставки спират.
Атаки Smurf DdoS. Името на този тип DDoS атака е базирано на концепцията, че многобройни, макар и по-малки нападатели могат да препълнят много по-голям опонент чрез своя огромен обем, точно както измислената колония от малките сини хуманоиди сърфовете, дали името на тази атака. При Smurf разпределена атака за отказ от осблужване голям брой пакети ICMP на протокола за управление на интернет съобщения с фалшив IP източник на мишената се излъчват към компютърна мрежа, използвайки IP broadcast адрес. По подразбиране повечето устройства в мрежата ще отговорят чрез изпращане на отговор до IP адреса на източника. В зависимост от броя на машините в мрежата, компютърът на жертвата може да бъде забавен заради наводняване с трафик.

Атаки към приложенията

Пример за такава атака е HTTP flood. Извършвани чрез затрупване на приложения със злонамерени заявки, атаките към слоя за приложенията се измерват в заявки в секунда (RPS). Наричани още DDoS атаки от слой 7, тези атаки атакуват и нарушават конкретни уеб приложения, а не цели мрежи. Въпреки че са трудни за предотвратяване и смекчаване, те се стартират по-лесно. За сравнение, лесно е да стреснете стадо коне, но е много трудно да ги овладеете отново. Атаките на приложния слой са такива: лесни за изпълнение, трудни за забавяне или спиране и специфични за дадена мишена.

Глобалният пазар за DDoS защита се очаква да достигне $4739,2 млн. до 2027 от $1532,9 млн. през 2020, с общ годишен темп на нараства от 17,3% за периода 2021 - 2027 по данни на 360 Research Reports.

Column Chart

Infogram