Когда дело доходит до кибератак, часть специалистов сравнивают вредоносное ПО со скальпелем, осторожно проникающим в различные уровни безопасности. Что касается DDoS-атаки (распределенный отказ в обслуживании) - ее можно считать кувалдой для взлома.
Вместо того чтобы пытаться незаметно проникнуть в целевое программное обеспечение и компьютеры или использовать скрытые недостатки, DDoS-атаки эффективно используют грубую силу, чтобы «выбить» целевые сайты и компьютеры в автономный режим.
ДДоС-атака делает это, перегружая веб-сайт или сервер большим количеством запросов на доступ, чем тот может обработать. Что вызывает его неисправность и отключение от сети, или в случае целевого сервера – «выводит из игры» сетевые службы, которые он мог бы поддерживать в автономном режиме.
Даже если атака DDoS не приводит к сбою сайта или сервера, это может привести к тому, что поддерживаемые службы будут работать намного медленнее. А веб-страницы будут закольцовываться на циклах загрузки при входе обычных пользователей.
Для проведения такой атаки требуется много подключенных к Интернету устройств - для отправки запросов на целевой компьютер или домен. Множество существующих устройств Интернета вещей (IoT) и компьютеров не имеют надежной защиты. Это позволяет хакерам или хакерским группам использовать их для выполнения атак.
Чем к большему количеству устройств смогут получить доступ хакеры, тем эффективнее они проведут DDoS-атаку.
А поскольку крупные корпорации все чаще используют устройства и сети IoT - у хакеров появляется множество заманчивых целей, которые они могут взять под контроль, а затем использовать для запуска ДДоС-атаки на компанию.
Такие векторы нападения были легко восприняты и использованы киберпреступниками, причем устройства IoT часто являются ядром многих DDoS-атак. Множество таких устройств, поступающих на рынок, недостаточно защищены, чтобы сдержать злоумышленников.
Это означает, что преступникам легко и эффективно запускать ДДоС-атаки без особых усилий. Звучит сюрреалистично, но армии веб-камер, телевизоров, маршрутизаторов и прочих приборов в их распоряжении для поражения определенной цели.
Хотя DDoS-атаки не следует рассматривать как «хаки», поскольку нет несанкционированного доступа к инфраструктуре компании или к конфиденциальным данным, они могут быть столь же разрушительными для деятельности организации.
Многие предприятия наверняка пострадают от намеренного сброса в автономный режим - от сайтов электронной коммерции, таких как eBay, до организаций, занимающихся цифровыми новостями.
DDoS-атаки также часто используются в качестве дымовой завесы для чего-то гораздо более изощренного, отвлекая ИТ-команды, в то время как преступники пытаются использовать уязвимости для кражи данных.
Очень краткая история DDoS
Считается, что методология, известная нам сегодня как ДДоС, впервые появилась в 1995 году во время атак Net Strike на сайты, принадлежащие французскому правительству. К 1997 году нападения стали несколько автоматизированными, в основном благодаря инструменту FloodNet, созданному группой Electronic Disturbance Theatre (EDT).
После нападения Anonymous в 2010 году, тактика DDoS надежно закреплена на карте угроз. Используя инструмент, получивший название «Низкоорбитальная ионная пушка» (LOIC), группа злоумышленников смогла успешно заполнить целевые серверы пакетами TCP или UDP.
Недавние DDoS-атаки
С тех пор DDoS развился еще дальше: два недавних «тарана» продемонстрировали легкость, с которой преступники могут взломать целевые серверы.
В октябре 2016 года один 18-летний пользователь настроил свою учетную запись Twitter и сайт таким образом, что они содержали ссылку, при нажатии на которую автоматически выполнялся вызов службы спасения 911. В результате службы экстренной помощи в нескольких городах штата Аризона (США), а также офис шерифа округа Марикоп были завалены ложными вызовами. Тысячи звонков в течение нескольких минут едва не «подвесили» всю работу службы 911 целого округа.
Второй заметный случай - это ДДоС-нападение на DNS-провайдера Dyn, которая произошла примерно в то же время. Предполагается, что атака была основана на базе Mirai (вредоносное ПО, которое вербует устройства IoT в ботнет). Провайдер рассказал, что наблюдал, как десятки миллионов IP-адресов, связанных с Mirai, были частью атаки. А армия из 150 000 камер видеонаблюдения, подключенных к Интернету - стала основной частью ботнета! В результате нападения множество известных интернет-сервисов были «выбиты» в автономный режим.
Как работают DDoS-атаки?
ДДоС в настоящее время является почти исключительно территорией «арендуемых ботнетов». Она уже не населена просто взломанными компьютерами и ноутбуками. Так, в прошлом году ботнет Mirai объединил сотни тысяч устройств IoT для DDoS нападения. Такие устройства, как маршрутизаторы и даже камеры видеонаблюдения, имеют учетные данные по умолчанию. Они часто не изменяются владельцами, что дает хакерам возможность простым путем получить доступ и контроль над ними.
ДДоС-налеты почти все связаны с лавинами запросов. Будь то протокол пользовательских диаграмм (UDP), синхронизация протокола управления передачей (TCP) (SYN), GET / POST или поток Ping of Death. Все они включают в себя отправку большого количества данных, которые «съедают» ресурсы сервера при попытке ответить или проверить их подлинность.
Чем больше отправлено запросов, тем меньше ресурсов остается серверу для проверки и ответа, пока в конечном итоге он не «рухнет» под нагрузкой.
Сколько стоит DDoS-атака.
Это зависит от того, насколько «серьезная» организация подвергается нападению ну и от уровня «исполнителей», совершающих налет.
Специалисты «Лаборатории Касперского» считают, что средняя стоимость последствий злонамеренных действий для организации составляет более 100 тыс. долларов США, если принять во внимание все, от обнаружения до снижения рисков и оттока клиентов.
Для злоумышленника это обходится дешевле. «Услуги» хакеров, которые наносят подобные удары, варьируются от 5 долларов за пару минут, до 500 долларов за рабочий день.
