В этом году «Яндекс» стал мишенью самой крупной в истории DDoS-атаки, а в США обнародовали вопиющий случай фишинга паролей. Мир – во власти хакеров?
Когда Земля была маленьким шариком в углу браузера, а Windows – дырявой, как решето, операционной системой, всякой малвари жилось максимально привольно. В результате в 2007–2010 годах планету населили титаны – ботнеты-миллионники, в том числе 5-миллионный ZeuS, которые по-разбойничьи сеяли хаос и панику во все еще юном и неокрепшем интернете с помощью DDoS-атак. Сегодня «дидосят» не ради развлечения. Это способ конкурентной борьбы. Классика жанра – борьба между онлайн-магазинами: когда один не работает, все идут покупать в другой. Большинство таких атак забивают жертве канал «мусорными» запросами. Атаку легко организовать, но и легко отразить – мусор отличается от реального трафика, и есть множество компаний, создающих программные решения на такие случаи.
«Атаки, череду которых мы стали наблюдать в конце лета, были не такими, – рассказывает Антон Карпов, директор по безопасности «Яндекса». – Это были легитимные запросы – когда мусор мало чем отличался от запроса настоящего, живого пользователя». Источником стала «Чума» – новый ботнет невиданной ранее силы. Если раньше обнаруженные программистами вирусы и другие опасные формации получали скучные порядковые номера, то последние лет десять им дают полноценные имена – как кораблям или как штормам и ураганам. «Название родилось так: я прихожу к нашему редактору блога и говорю: «Слушай, это чума какая-то!» За это слово и ухватились: посмотрели, как будет «чума» на латышском – Mēris. Так новый ботнет и назвали, – вспоминает Александр Лямин, глава Qrator Labs, компании, специализирующейся на защите от DDoS-атак. – Мы общались с кучей народа из разных стран, но храбрости выйти с кейсом на публику хватило только двум компаниям – Cloudflare и «Яндексу».
Прибалтика возникла в истории неслучайно: Mēris примерно с 2018 года функционировал на основе популярных (и по иронии судьбы считавшихся достаточно надежными) роутеров латвийской компании MicroTik. Три года назад в операционной системе роутеров появилась брешь, и за прошедшие несколько лет хакерам удалось постепенно вырастить ботнет из 250 тысяч устройств. Цифра не рекордная, но и не маленькая. Роутеры для ботнета – устройства не типичные, но удобные. Это производительные девайсы, которые, во-первых, постоянно подключены к сети по широким каналам связи, а во-вторых, это домашние устройства с реальными пользователями. Из второго пункта вытекает сложность применения обычной тактики борьбы – если блокировать IP-адреса, пострадают те самые пользователи.
Разработчики приложений определяют разрушительную силу ботнета в количестве запросов в секунду. По последнему показателю атака Mēris стала самой крупной за всю историю интернета – без малого 22 млн запросов. Для сравнения: в среде разработчиков долго считалось, что 10 тысяч запросов в секунду – это уже мощное нападение. Сначала экспертная среда решила, что весь шум – из-за возвращения старого знакомого, ботнета Mirai.
Он натворил бед в 2016 году, когда по его вине массово отключался интернет на Западном побережье США. Однако Mirai базировался не на роутерах, а на девайсах «интернета вещей», в частности видеокамерах, умных розетках и т. д. А тут довольно быстро стало понятно, что дело не в розетках.
Расслабьте фильтры!
«За последние 15 лет тренды в сфере информбезопасности переместились в область монетизации, – говорит Антон Карпов. – Еще в нулевых был популярен подход full disclosure: нашел уязвимость – альтруистично рассказал о ней публично, ничего на этом не заработав. Раньше выкладывали в общий доступ даже эксплойты. Сегодня такого уже нет, все покупается и продается, у всего есть свой ценник – у «дыр» в Windows, MS Office, MacOS. Это в некотором роде привело к деромантизации хакерской работы. Нас часто спрашивают, берем ли мы на работу «бывших хакеров» – тех, кто совершал правонарушения ради наживы. Но здесь надо понимать, что очень часто такие люди имеют весьма невысокую квалификацию – они просто купили конструктор троянов или доступ к ботнету. Настоящие профессионалы не занимаются атаками, они пишут инструментарий».
Александр Лямин рассказывает, что иногда сами бизнесмены в погоне за доходом позволяют ботнетам атаковать свои сайты: «Ты почистил трафик от роботов, а потом заказчик заявляет: «Пропала глубина просмотров – расслабьте фильтры! Что-то стало слишком много трафика, системы не справляются – напрягите фильтры! Упало количество показов баннеров – расслабьте фильтры. Ой, выросли показы баннеров – снова напрягите фильтры, рекламодателям опять не нравится». По словам экспертов, российский e-commerce почти не использует никаких решений по отлову ботов. В связи с этим на запросы последних иногда приходится до 60 % трафика. Боты приходят не только для DDoS-атаки. Они появляются на сайтах, например, для кражи описаний и фотографий товаров. Они окружают нас со всех сторон.
Брутальный DDoS
«Мы нашли и тех, кто создал ботнет, и тех, кто организовывал атаку, – это разные люди, – говорит Антон Карпов. – Обычно подобные криминальные цепочки довольно длинны. Один человек находит уязвимость и продает ее на черном рынке – чаще всего это выгоднее, чем проинформировать о ней компанию-владельца и потребовать какое-то вознаграждение. Например, получить «дыру» в свежей iOS стоит порядка $5 млн – айфон сегодня самый сложный для взлома пользовательский девайс. Другие эксплуатируют уязвимость и собирают ботнет, после чего сдают его в аренду. Кто финальный заказчик – отдельная тема. Равно как и ответ на вопрос, зачем «дидосить» «Яндекс».
Последний пункт вызывал много вопросов. Во-первых, «Яндекс» – слишком крупный зверь для такой охоты. Во-вторых, атака не может пройти незамеченной, ботнет неизбежно будет выявлен. В компании полагают, что это была демонстрация силы и некая самореклама инициатора, поскольку целью атаки был не конкретный сервис, а главный сайт, yandex.ru, хотя при желании цель может быть любой, с точностью до домена. Вероятно, получивший доступ к ботнету обрел свое счастье чуть ли не случайно и, понимая скорую поимку, решил устроить демонстрацию мощи «здесь и сейчас», включив ботнет на полную разрушительную силу. «Те, кто это делал, явно не блистали интеллектом. Они просто максимизировали «плечо атаки» – отношение ресурсов, необходимых на стороне атакующих, к ресурсам на стороне защищающихся», – говорит Лямин.
Атака «Чумы», которая имитирует наплыв реальных пользователей, была не первой в своем роде. Вместе с ней история хакерства в каком-то смысле вернулась к корням, но на качественно ином уровне. Лет 10–15 назад DDoS-атаки были именно такого, мимикрирующего под человека характера – просто потому, что по-другому тогда не умели. Забивание каналов связи мусорными запросами еще не было таким простым и дешевым, как сейчас. Атаки с помощью ботнетов-миллионников стоили несколько тысяч долларов. Сегодня атака через Mēris стоит около $100. Эмуляция живых юзеров снова в чести.
«Ностальгией» объясняется и огромное количество запросов в секунду, созданное Mēris. Виной тому – пайплайнинг, или конвейерная обработка – технология в протоколе http 1.1, позволяющая в рамках одного соединения отправить на сервер сразу множество запросов, не ожидая ответов на каждый, тем самым повышая скорость загрузки сайтов. Сегодня этот метод практически не используется, он по умолчанию отключен в браузере Mozilla Firefox, а Internet Explorer его вообще не поддерживает. Надобность в пайплайнинге отпала, но возможность его использования никуда не делась – этим-то моментом хакеры и воспользовались. По словам экспертов, все можно было сделать умнее. Вместо того чтобы накручивать 22 млн запросов, можно было ограничиться той цифрой, которая была необходима и достаточна. Тогда скорость запросов с одного IP-адреса не триггерила бы детектор аномалий и заблокировать такой ботнет было бы несколько сложнее. «Бизнес-метрики приложения упадут на 90 %, но оно все равно продолжит работать. В индустрии это называется Low and Slow – когда ботнет идет на необходимой и достаточной скорости, чтобы нанести максимальный ущерб бизнесу, при этом не демаскировав себя», – объясняет Александр.
Скачанного не вернешь
Свято место пусто не бывает, и новый ботнет схожего или более разрушительного масштаба появится непременно – специалисты отводят на формирование два-три года. По оценкам Qrator, векторов заражения роутеров было несколько, и один из них – малварь на взломанных домашних ПК. Причем способ взлома через подбор пароля маловероятен. Эксперты прогнозируют, что через десять лет пароли станут таким же анахронизмом, как сегодня печатная машинка. Будущее хранения авторизационных данных профессионалы видят в токенах, защищенных биометрией. Сегодня, после появления криптовалют, эту технологию активно развивают, вводя все новые способы защиты, сделав ее почти неприступной. Но ценой этой сегодняшней надежности были серьезные ошибки в прошлом.
В этом году американская компания RSA рассекретила свой грандиозный провал десятилетней давности. Тогда хакеры получили доступ к частной информации десятков их клиентов – крупнейших американских компаний. RSA производили аппаратные ключи двухфакторной идентификации – физические брелоки с одноразовыми кодами. Хакеры получили доступ к самому ценному, что было в компании, – хранилищу сидов, или «векторов генерации». Они используются для создания тех самых кодов двухфакторной аутентификации в токенах, что находились у десятков миллионов пользователей в правительственных и военных организациях, оборонных подрядчиках, банках и бесчисленных корпорациях по всему миру.
Первым заподозрил неладное Тодд Литхэм, тогда еще сотрудник RSA. Он обратил внимание, что один из пользователей вышел в сеть не со своего компьютера и с нестандартными правами. Тодд посмотрел логи этого юзера за несколько дней – и стало понятно, что это взлом: хакеры окопались во внутренней сети и добрались до хранилища сидов.
Литхэм с ужасом читал в логах, как хакеры девять часов методично выкачивали сиды из хранилища и отправляли их по FTP на взломанный сервер у облачного провайдера Rackspace. Но затем он заметил, что в логах проскочили имя пользователя и пароль для этого взломанного сервера. Литхэм быстро подключился к удаленной машине Rackspace и ввел эти учетные данные. И вот оно: в директории на сервере все еще лежала вся украденная коллекция сидов в виде WinRAR-архива. Литхэм подумал: «Использовать взломанную учетку для входа на сервер, принадлежащий другой компании, и возиться с данными там – грозит тюрьмой». Возможно, этих нескольких секунд, потраченных на раздумья, Тодду и не хватило. Введя команду на удаление файла, он получил ответ: «File not found». Литхэм снова изучил содержимое сервера, но папка была пуста – хакеры забрали базу с сервера прямо из-под носа, за несколько секунд до того, как он попытался ее удалить. Тодд охотился за хакерами несколько суток днем и ночью и почти схватил за рукав убегавшего вора, но тот ловко ускользнул, прихватив награбленное.
Автор: Данила Мельников
