В 2022 году DDoS-атаки с использованием ботнетов, созданных внутри России, стали одним из наиболее популярных хакерских сценариев. Об этом пишут «Ведомости» со ссылкой на основателя Qrator Labs Александра Лямина. По его словам, злоумышленники выбирали для проведения атак серверы, расположенные на территории России, что позволяло им обходить блокировки зарубежного трафика.
Рост числа атак с использованием «российских» ботнетов подтвердили ведущий эксперт отдела анализа защищенности МТС Вадим Шелест, ведущий эксперт группы мониторинга ботнетов «Лаборатории Касперского» Олег Купреев и технический директор АО «Синклит» Лука Сафонов. Большую часть атак с использованием «российских» ботнетов осуществили на субъекты критической информационной инфраструктуры, уточнил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК‑Солар» Алексей Павлов.
Для DDoS‑атак используют компьютерные сети с запущенными на устройствах ботами. Каждым таким устройством злоумышленник может управлять удалённо, без ведома владельца. Ботнеты могут состоять как из заражённых устройств пользователей, так и из устройств интернета вещей: умных колонок, пылесосов.
Один ботнет может включать сотни тысяч устройств. Суть атаки заключается в том, что все участники ботнета одновременно начинают отправлять запросы к атакуемому ресурсу, что в результате приводит к отказам системы, а добросовестные пользователи теряют доступ к нему.
В 2022 году наиболее мощные DDoS‑атаки совершались с использованием ботнетов, в которых преобладали российские IP‑адреса, рассказал Лямин. В связи с ростом числа и интенсивности атак многие ресурсы начали ограничивать доступ для всех IP‑адресов, кроме российских, пытаясь блокировать вредоносный трафик из других стран. Но к осени эта мера перестала быть надёжной защитой: злоумышленники начали организовывать ботнеты внутри России. Количество самостоятельных ботнетов на территории России подсчитать невозможно, уточнил Лямин. Их границы сложно определить, многие IP‑адреса участвуют в нескольких ботнетах сразу, поэтому часто случаются пересечения.
Раньше злоумышленники не были избирательны относительно географического местоположения уязвимых устройств, значение имело только присоединение к ботнетам как можно большего объёма ресурсов, заметил Шелест. Но теперь, чтобы противостоять блокировкам по географическому признаку, им приходится всё чаще прибегать к подобной тактике, подтвердил он.
Для создания ботнетов на территории России злоумышленники использовали три основных вектора, рассказал Павлов. Первый — атаки на цепочки поставок, когда, например, через обновление прошивки заражались умные телевизоры. Второй — сговор с владельцами условно бесплатных приложений, которые позволяли использовать их для организации атак без ведома пользователей, третий — фишинговые атаки на физлиц и юрлиц с целью заражения домашних и корпоративных компьютеров и дальнейшего управления ими в своих интересах.
Проблему усугубляет ежедневное появление большого количества новых уязвимостей на фоне отсутствия обновлений ПО зарубежных вендоров, заметил Шелест. Клиенты ушедших из России компаний не будут получать обновлений безопасности и со временем обнаруженные в таких системах уязвимости начнут эксплуатироваться злоумышленниками, подтверждает Лямин. По его словам, в 2023 году это приведёт к дальнейшему росту ботнетов, с помощью которых злоумышленники продолжат атаковать ресурсы в России.
