ЧЕРНЫЕ ДЫРЫ КИБЕРЗАЩИТЫ  



ЧЕРНЫЕ ДЫРЫ КИБЕРЗАЩИТЫ   

Авторы:

Артём Гавриченков, технический директор Qrator Labs

Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies

Компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила годовой отчет о трендах в сфере сетевой безопасности по итогам 2019 года. Эксперты Qrator Labs и Positive Technologies анализируют новые киберугрозы и рассказывают о мошеннических схемах, с помощью которых хакеры крадут у своих жертв ресурсы, информацию, нанося  финансовый и репутационный вред или даже полностью парализуя работу компаний. 

Цифра: 1,5 раза — примерно настолько выросло общее количество DDoS-атак за 2019 год

 

 

Ошибочно считать, что организация, даже самая маленькая, не станет целью киберпреступников. Их цели могут быть разными, например, за счет атакованной компании злоумышленники могут майнить криптовалюту, используя ее ресурсы, могут зашифровать данные и просить за доступ к ним выкуп. Если бизнес крупный, то стоит не просто следовать типовым рекомендациям по обеспечению информационной безопасности (далее — ИБ) и требованиям регуляторов отрасли, но и задумываться о том, могут ли наиболее значимые для организации бизнес-риски наступить в результате кибератаки. Соответственно, строить свою киберзащиту необходимо с учетом таких рисков.

По нашим оценкам, общее количество DDoS-атак за 2019 год выросло примерно в 1,5 раза. Такое увеличение числа инцидентов было достигнуто за счет роста атак на отдельные индустрии: банки, платежные системы, криптобиржи, онлайн-ритейл, сайты знакомств. И если крупный бизнес может выдержать нападения, то для среднего это серьезная проблема: у небольших компаний часто нет свободных финансовых ресурсов для использования средств серьезной киберзащиты на постоянной основе, поэтому они чаще других становятся жертвами DDoS-атак.

Основные мотивы DDoS-атак в среднем и крупном бизнесе — вымогательство и недобросовестная конкуренция. Коммерческие заказы на DDoS не сдают своих позиций, они особенно востребованы у малых и средних компаний. Многие из них вынуждены бороться за свое существование и готовы использовать для этого практически любые методы, устраняя конкурентов и стараясь завоевать большую долю рынка. 

Госорганы и их уязвимости

С точки зрения атакуемых киберпреступниками индустрий лидерство по итогам года осталось за государственными учреждениями, компаниями промышленной и финансовой отраслей, а также медицинскими и научными организациями. В большинстве случаев объектом кибератаки в течение года оставались компьютеры, серверы и сетевое оборудование целевых компаний.

По данным Positive Technologies, атаки на веб-ресурсы организаций вошли в топ-3 по популярности среди киберпреступников, но при этом не превысили 20% в общем числе. Наиболее подвержены им оказались государственные учреждения и в частности порталы государственных и муниципальных услуг.

 Атака на веб-приложение — один из наиболее популярных методов атак в принципе. В рамках тестирований уровня безопасности наши эксперты регулярно подтверждают факты возможного проникновения в сети компаний через уязвимые сайты. Но если организация использует средства для защиты, то вероятность успешной атаки значительно снижается. Появляется шанс вовремя среагировать на угрозу и заблокировать атакующего. К сожалению, сайты госорганизаций сегодня содержат множество уязвимостей, а защите веб-приложений не уделяется должного внимания. В фокусе — безопасность сайтов государственного или регионального значения, при этом множество менее значимых ресурсов все еще остается уязвимо. Преступники знают и пользуются этим, например, для кражи информации, дэфейса, майнинга или просто для отладки новых инструментов атаки перед проведением атак на более крупные цели. К наиболее уязвимым можно причислить также сайты образовательных и медицинских учреждений.

Для защиты от массовых атак сегодня достаточно следовать типовым рекомендациям. Но такой подход не работает при сложных целенаправленных атаках профессиональных хакеров. Нужно изучать их техники и инструменты, внедрять специализированные системы защиты, которые способны такие инструменты и техники обнаружить: SIEM (Security information and event management), NTA (Network traffic analysis), песочницы (Sandbox) и т. п. И конечно, важно повышать практические навыки сотрудников службы ИБ, ведь противостояние сложным угрозам требует высокой квалификации персонала.

Атаки на масс-медиа

По формальным данным Qrator Labs, атаки на сектор СМИ уменьшились на 7,59%, однако ситуация несколько сложнее, чем кажется. В конце 2019 – начале 2020 года нападения на масс-медиа выросли на порядок. В последние годы большинство российских СМИ начали использовать бесплатные или недорогие средства защиты от DDoS, в частности, зарубежные. В конце 2019 года индустрия наблюдала множество успешных атак на сайты средств массовой информации. В итоге злоумышленники поняли, что большинство сайтов СМИ можно легко обрушить даже минимальными усилиями, и в последнее время они начали делать это просто ради развлечения.

Уверены, что в 2020 году положение вещей не изменится, атаки на медиа продолжатся. Уже в начале года появилось большое количество инфоповодов, многие из которых вызвали живой отклик в умах людей, как позитивный, так и негативный. За бурными всплесками в инфопространстве обычно следуют активные попытки взломов и DDoS-атаки, к которым индустрия СМИ может быть не готова.

Новые векторы атак

Рост рынка IoT означает, что злоумышленники при желании могут эксплуатировать уязвимые устройства, создавая значительную пропускную полосу атаки — как это произошло в середине года, когда протокол WSDD был задействован для нанесения видимого ущерба. Протокол Apple ARMS, который был задействован для получения коэффициента амплификации порядка 35,5, также был виден в атаках на сеть фильтрации Qrator Labs.

В течение 2019 года были выявлены новые амплификаторы (PCAP), а также на практике был зафиксирован уже давно известный вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK-флуд).

Техника атаки типа Amplification (усиление) заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP.

Атаки, задействовавшие вектор амплификации SYN-ACK, стали одной из наиболее серьезных сетевых угроз, тогда как до 2019 года оставались лишь теорией. Одна из первых громких атак с использованием техники SYN-ACK амплификации была организована на международную хостинговую платформу Servers.com. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой «мусорным» трафиком составил 11,5 часов.

Довольно интересным является и то, что наиболее часто использовавшийся в прошлом метод реакции в виде сброса всего UDP-трафика, виртуально нейтрализующего большую долю атак с использованием амплификации, совсем не помогает нейтрализовать вектор SYN-ACK. Меньшие интернет-компании испытывают огромные трудности при нейтрализации подобных угроз, так как она требует задействования более комплексных мер по борьбе с DDoS-атаками.

Чем опасны BGP-оптимизаторы

В 2019 году был выявлен новый класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи.  Многие компании хотят автоматически контролировать поток исходящего трафика, это позволяет им существенно снизить расходы. С этой целью устанавливают различные устройства, использующие специфичные тактики для работы с протоколом BGP, которые могут работать, только если вокруг них корректно настроены фильтры, предотвращающие утечку маршрутов. К сожалению, на рынке пока мало специалистов, умеющих правильно настраивать фильтры, в связи с чем оптимизаторы постоянно «прорываются», и маршруты утекают в неизвестном направлении.

Так, в январе 2020 года на одну из точек обмена трафиком в Санкт-Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой Народной Республики, который занимался оптимизацией трафика. Подобные инциденты опасны не только возникновением ошибок в сети, но злонамеренным перехватом трафика (атаки Man-in-the-middle).

В последнее время из-за закупки BGP-оптимизаторов такие ситуации происходят регулярно. Индустрия квалифицированных сетевых инженеров активно выступает за ограничение использования оптимизаторов, поскольку работать с ними никто не умеет. Однако уже и в России можно наблюдать, как многие компании начинают закупать BGP-оптимизаторы для снижения расходов на трафик, что в свете введения в действие законодательства про точки обмена трафиком и автономные системы может дать очень неприятный кумулятивный эффект. Закупка и некорректная настройка BGP-оптимизаторов опасна тем, что на сети могут возникать утечки и даже злонамеренные перехваты трафика. Протокол BGP управляет трафиком между операторами связи и является единственным способом их взаимодействия друг с другом. BGP позволяет операторам выбирать тот или иной маршрут, по которому трафик пойдет от их сети до места назначения, однако каждый оператор, в том числе промежуточный, принимает решение о выборе того или иного маршрута из набора альтернатив самостоятельно. Следствием нарушения правил BGP операторами связи становится возникновение утечек маршрутов и «угонов» сетей.

Например, когда оператор в условном Бутове может объявить на весь мир, что он теперь является провайдером услуг связи для сетей Google и YouTube. Ввиду недостатков BGP сделать это можно даже случайно. И такие «случайности» происходят с завидной регулярностью. Небольшие операторы в результате тривиальной ошибки могут перенаправить на себя трафик магистральных сетей и целых континентов. В результате они не только выводят из строя свои собственные сети, но и создают колоссальные проблемы для других. Такие инциденты принято называть «утечками маршрутов» (route leaks).

Поскольку протокол BGP создавался для управления трафиком, то он также становится «идеальным» инструментом для нелегитимного его перехвата. Пропуская через себя трафик, злоумышленник может записывать его, настраивать фишинговые сайты, искать в передаваемых данных пароли, финансовые и персональные данные. Для потенциального злоумышленника BGP становится идеальным инструментом для перехвата трафика и кражи данных.

Кроме того, бизнес, закупивший оптимизаторы и неудачно их настроивший, может столкнуться также с тем, что через него будет проходить сенситивный трафик. Если этот трафик окажется незашифрованным, для владельцев компании может стать открытой информация, доступ к которой им не следовало получать. А это, в свою очередь, может грозить проверками со стороны правоохранительных организаций. Дополнительно этот трафик будет многократно перегружать информационные ресурсы организации, в результате чего они могут быть выведены из строя на неопределенное время.

Защищенность сайта

Уровень защищенности сайта зависит одновременно от многих факторов: от серьезности обнаруженных уязвимостей, их количества, потенциально возможного воздействия на анализируемую систему или ее пользователей. Кроме того, нужно рассматривать защищенность сайта не только с точки зрения наличия в нем уязвимостей, но и учитывать,  используются ли для его защиты специальные средства. Ведь при любом изменении функционала сайта в нем могут появиться новые уязвимости, а останавливать работу сайта на время их поиска и устранения компания не станет. Чтобы защитить сайт, нужно использовать межсетевой экран уровня приложения (web application firewall), он позволит заблокировать атаки на сайт, даже если в нем присутствует уязвимость.

Анализировать сайт можно разными способами: например, пытаться найти уязвимости так, как бы это делал потенциальный злоумышленник, то есть ничего не зная изначально о системе и не обладая в ней никакими правами. Такой подход поможет обнаружить наиболее простые и доступные любому злоумышленнику проблемы с безопасностью. Можно проводить поиск уязвимостей с правами типовых пользователей сайта, это позволит смоделировать возможные атаки от злоумышленников, которые смогли зарегистрироваться в системе и получить какую-то дополнительную информацию о ней. Но при таких видах анализа можно не обнаружить всех уязвимостей, поэтому для максимально эффективного анализа нужно исследовать исходный код сайта. Только обладая всей информацией о приложении, его кодом и возможностью проверить наличие уязвимости на тестовом стенде, можно обнаружить максимальное число уязвимостей и, устранив их, повысить уровень защищенности.

Монетизация ботнетов

Ботнет — это компьютерная сеть, состоящая из большого количества компьютеров с установленным вредоносным ПО. Система позволяет злоумышленникам управлять зараженными машинами без ведома их владельцев. Сегодня преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них  —  реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках, в частности, для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример —  Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывает контроль над уже взломанными кем-то ресурсами. В настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies.

Размер ботнета — число зараженных машин, объединенных в бот-сеть. В 2019 году средний размер наблюдаемого нами ботнета вырос на 20% по сравнению с 2018 годом и составил 5 045 машин, что можно связать с ростом количества уязвимых смартфонов и устройств Интернета вещей. Максимальный размер ботнета в 2019 году составил 237  249 зараженных устройств.