Вырос объем нелегитимного трафика веб-серверов

В России в 2024 году количество нелегитимного трафика веб-серверов выросло до 12% от общего числа. Половина объема этого трафика приходится на активность вредоносных ботнетов. Об этом «Коммерсантъ» сообщает со ссылкой на хостинг-провайдера RUVDS. 

Эксперты отметили, что для DDoS-атак операторы ботнетов чаще начали использовать зараженные компьютеры и серверы. Помимо IoT-устройств в такие ботнеты все больше включают зараженные виртуальные машины и серверы. 

«Для DDoS-атак в большинстве случаев используют зараженные устройства с простой архитектурой, например IoT-устройства или умные гаджеты. Однако их используют в основном для атаки сетевого (L2) и транспортного (L3) уровней. Для атаки на уровень веб-приложений и серверов (L7) используются виртуальные серверы и виртуальные машины», – говорится в сообщении. 

По словам директора по продуктам Servicepipe Михаила Хлебунова, зачастую злоумышленники арендуют мощности хостинг-провайдеров именно для атак на L7-уровне. 

«При этом мы сталкивались с атаками, когда злоумышленники не выкупают виртуальные машины, а пользуются промоакциями хостеров и "берут" их непосредственно под атаку», – добавил эксперт. 

Однако злоумышленники не всегда арендуют мощности у провайдеров для своих ботнетов. «Это также эксплуатация уязвимостей, когда легитимный клиент, сам того не зная, формирует вредоносный трафик», – прокомментировал гендиректор хостинг-провайдера RUVDS Никита Цаплин. 

Директор по информационным технологиям «Рег.ру» Евгений Мартынов отметил, что провайдерам не всегда удается защищать предоставляемые в аренду виртуальные серверы и машины. Это связано с тем, что без согласия пользователя хостинг-провайдер не может самостоятельно обновлять клиентское ПО. Кроме того, иногда такое обновление может приводить к сбоям в работе. 

Директор по клиентской безопасности провайдера Selectel Денис Полянский добавил, что тяжело определить тип атаки, исходящей от арендованного оборудования. По словам эксперта, иногда по характерным признакам можно определить, что с устройства проходит DDoS-атака. Это видно провайдеру, который замечает резкий рост трафика, аномальную сетевую активность, а также нагрузку на сетевое оборудование. В таком случае он может блокировать такие атаки, информируя клиента о возможном заражении его инфраструктуры. В том случае, если атака осуществлялась на ресурсы, подключенные к государственной системе обнаружения ГосСОПКА, провайдер может получить уведомление об атаке уже от регулятора, добавляет эксперт. 

Доступ к виртуальным серверам и машинам, который есть у хакеров, несет угрозу, рассказал руководитель направления защиты информации облачного провайдера Nubes Дмитрий Шкуропат. Виртуальные серверы могут использоваться для сокрытия месторасположения как самого ботнета, так и его оператора. «Виртуальные серверы, размещенные в российских центрах обработки данных, позволяют злоумышленникам скрывать свое истинное местоположение и обойти блокировку по GeoIP», –  предупреждает руководитель направления киберразведки ЦПК Innostage SOC CyberArt Александр Чернов.

Напомним, что в 2024 году специалисты зафиксировали мощнейшие DDoS-атаки на российских хостинг-провайдеров, которые были организованы с помощью нового ботнета. Так, максимальная мощность атак достигала 1,5 Тбит/с. Эксперты обнаружили, что атаки в основном шли с IP-адресов таких стран, как США, Китай, Гонконг, Сингапур, Румыния и Украина.