Сегодня существует множество решений по защите от DDoS-атак для бизнеса любого размера и отрасли. Специалисты по информационной безопасности многих компаний имеют наготове план реагирования на случай инцидента, связанного с DDoS. Можно подумать, что угроза максимально нейтрализована. Но что если сама DDoS-атака — это лишь вершина айсберга, а за ней скрывается другое преступление, которое может быть замечено не сразу?
3. Примеры отвлекающих маневров
3.2. Взлом Ascent Builders и DDoS-атака на Bank of the West
3.3. Атака на Bitcoin Internet Payment System
Что такое DDoS?
DDoS-атака является попыткой сделать веб-сайт или IT-инфраструктуру компании недоступными для использования. Злоумышленники реализуют свои коварные планы путем снижения скорости отклика или обработки запроса, выводом из строя приложений, серверов или части сетевой инфраструктуры. Атака осуществляется отправкой большого количества запросов с зараженных компьютеров (ботов), получающих команды от злоумышленника через командные сервера или иным способом. Существует множество видов DDoS-атак, нацеленных на разные части инфраструктуры или веб-приложения:
- атака пакетами большого объема, приводящая к полному истощению полосы пропускания канала связи;
- атака огромным количеством пакетов, выводящая из строя маршрутизирующее оборудование;
- атака с установлением множества соединений, вынуждающая сервер отклонять запросы легитимных пользователей;
- атаки на конкретные уязвимости логики работы приложения, позволяющие вывести его из строя.
Две стороны DDoS-атаки
В зарубежных СМИ, как правило, упоминаются только мощные DDoS-атаки, а в России сообщения ограничиваются атаками, нацеленными на госструктуры и банковский сектор. Может сложиться впечатление, что DDoS-атаки достаточно редки и разрушительны. Тем не менее подобные случаи происходят каждый день, просто многие компании не афишируют факт атаки, особенно если она была отражена. В случае успешной блокировки и если DDoS-атака не нанесла ущерба жертве, ИБ-специалисты далеко не всегда проводят полноценное, многостороннее расследование для выявления всех узких мест в системе безопасности компании.
В этой статье будет освещена другая сторона проблемы DDoS-атак — использование их для сокрытия действий злоумышленников, направленных на осуществление сложных целевых атак.
DDoS-атака сама по себе может привести ко множеству негативных последствий для компании, основным из которых является недоступность основных сервисов для клиентов, ведущая к финансовым и репутационным потерям. Если надежного решения по предотвращению DDoS-атак в компании нет, отдел информационной безопасности компании-жертвы вынужден бросить все силы на защиту от атаки и минимизацию ущерба, тем самым ослабляя другие рубежи обороны. На это и рассчитывают злоумышленники, используя DDoS-атаки для отвлечения внимания от проникновения внутрь организации или вывода уже полученной информации. Более того, даже если основной целью атакующих является вымогательство или вывод из строя IT-инфраструктуры, DDoS-атака как таковая не всегда способна достичь нужного эффекта. Поэтому DDoS часто является своего рода дымовой завесой, используемой для прикрытия сложных целевых атак, в том числе на веб-приложение.
Еще один побочный эффект DDoS-атаки, востребованный злоумышленниками, заключается в генерации большого числа событий, к примеру, с сетевых устройств, систем обнаружения вторжений, межсетевых экранов, операционных систем, веб-серверов и приложений. Фиксированный или ограниченный размер лог-файла может позволить мощной атаке сократить период времени хранения событий в журнале до нескольких дней, а дорогие SIEM-системы есть не у всех. Этого вполне хватит для уничтожения следов проникновения и действий злоумышленников внутри инфраструктуры компании, что сильно затруднит обнаружение и расследование инцидента.
Наиболее часто атаки для отвлечения осуществляются на компании из финансового сектора. Еще в 2012-2013 годах были опубликованы отчеты Dell SecureWorks Counter Threat Unit и аналитиков исследовательской компании Gartner, раскрывающие тактику мошенников, использующих такой метод атак. Запустив DDoS-атаку малой мощности в качестве отвлекающего момента, злоумышленники с помощью вредоносных программ производят захват системы управления безналичными платежами банка и, таким образом, получают возможность переводить деньги между любыми счетами до момента своего обнаружения.
Другими целями подобных атак обычно являются персональные данные клиентов компании, данные счетов и кредитных карт, аккаунты к различным сервисам, интеллектуальная собственность и финансовые показатели самой компании, личная и рабочая переписка сотрудников и прочая ценная информация.
Согласно отчету аналитиков Neustar — DDoS Attacks and Impact Report за 2014 год, — 49% случаев DDoS-атак использовались для скрытой установки вредоносных программ в системы компаний, а 55% заканчивались кражей данных.
Исследование «Лаборатории Касперского» Global IT Security Risks за 2016 год подтверждает актуальность этой проблемы. 56% опрошенных представителей бизнеса высказали уверенность, что осуществленные на их компании DDoS-атаки использовались в качестве прикрытия других видов киберпреступлений. Порядка 26% респондентов признались, что последовавшая за DDoS целевая атака привела к утечке данных.
Некоторые источники называют DDoS-атаки малой мощности не дымовой завесой, а дымовым сигналом. Тем самым подчеркивая необходимость не концентрироваться исключительно на борьбе с атакой отказа в обслуживании, а готовиться защищать критичные системы компании.
Примеры отвлекающих маневров
За последние 6 лет произошел ряд громких инцидентов со взломом IT-инфраструктуры компаний под прикрытием DDoS-атаки:
- Атака на сеть Sony PlayStation, повлекшая кражу данных миллионов пользователей.
- Взлом платежной системы BITS, потери пользователей составили 1 миллион долларов.
- Британский ритейлер Carphone Warehouse подвергся в 2015 году DDoS-атаке, послужившей прикрытием взлома с кражей личных данных 2,4 миллионов покупателей и платежных данных 90 000 кредитных карт.
- В зарубежных СМИ есть сообщения об успешных взломах российских банков во время ноябрьской волны DDoS-атак 2016 года.
«Операция Sony»
«Операцией Sony» назвали серию кибератак на сервисы Sony, которые навредили как финансовому положению компании, так и ее репутации. Производимая 16-17 апреля 2011 года DDoS-атака позволила отвлечь IT-персонал Sony от основной цели злоумышленников — кражи данных. В общей сумме были украдены данные аккаунтов свыше 77 миллионов пользователей сервиса Sony PlayStation и 24 миллионов пользователей сервиса Sony Online Entertainment. Эти данные содержали имена, адреса, даты рождения, адреса электронной почты. Также были украдены данные кредитных карт некоторых пользователей, но специалисты Sony утверждают, что они хранились в зашифрованном виде.
Из-за успешно проведенного отвлекающего маневра специалисты по безопасности компании Sony долгое время не были в курсе этой утечки. По итогам этого инцидента компания заявила, что предприняла различные меры для усиления безопасности, в том числе добавила автоматические системы мониторинга безопасности IT-инфраструктуры.
Взлом Ascent Builders и DDoS-атака на Bank of the West
24 декабря 2012 года злоумышленники с помощью вредоноса получили контроль над компьютером в фирме Ascent Builders в США, переведя в общей сумме более 900 тысяч долларов на счета «мулов» через Bank of the West. По завершении операции банк, в свою очередь, подвергся DDoS-атаке, целью которой было отвлечение внимания и сокрытие следов совершенного преступления.
Атака на Bitcoin Internet Payment System
Атака на платежную систему BIPS 17 декабря 2013 года позволила злоумышленникам перевести с кошельков ее пользователей почти 1300 биткоинов (номиналом свыше 1 миллиона долларов). В отличие от других подобных атак на платежные системы, данный инцидент был предварен DDoS-атакой для отвлечения внимания при подготовке кражи.
Взлом компании TalkTalk
В результате атаки на крупнейшего в Великобритании провайдера услуг телефонии и доступа в интернет TalkTalk 21 октября 2015 года, замаскированную под DDoS-атаку, были украдены незашифрованные данные 28 000 кредитных и дебетовых карт, номера и коды 15 000 банковских счетов и 1,2 миллиона адресов электронной почты, имен и номеров телефонов клиентов. Хотя данные платежных карт хранились в неполном виде, информация о банковских счетах могла быть использована злоумышленниками. По результатам аудита безопасности было выявлено несоответствие некоторых аспектов защищенности компании стандарту PCI DSS.
Проактивная защита
Проанализировав кейсы успешного предотвращения инцидентов взлома под прикрытием DDoS-атаки, мы собрали несколько простых, но действенных рекомендаций:
- Имейте отработанный план реагирования на DDoS, чтобы не распылять внимание и не тратить время на координацию действий в случае атаки.
- Максимально автоматизируйте отражение DDoS-атак (подключите облачный сервис по защите в режиме always-on, а не on-demand), чтобы отдел информационной безопасности мог спокойно сосредоточиться на обороне инфраструктуры и веб-приложений от других, более сложных атак.
- Если вы используете защиту от третьей стороны — провайдера, хостера, внешнего сервиса и т. д., — они должны быть включены в план реагирования на DDoS-атаки, и также должны проходить регулярное тестирование.
- Привлекайте специалистов с опытом на рынке по организации симуляций атак и проведения нагрузочных тестов. Помните, что они должны находиться в правовом поле.
- Регулярно проводите аудит безопасности IT-инфраструктуры и веб-приложения для выявления узких мест, наличие которых увеличивает риски DDoS-атак.
- Для защиты от кражи или манипуляции данными рекомендуется периодически проводить аудит исходного кода веб-приложения и оперативно устранять найденные уязвимости.
- После каждой отработки реагирования на DDoS совершенствуйте свой план реагирования.
Выводы
С развитием средств защиты от DDoS происходит и развитие методов атак. Злоумышленники не стоят на месте, и сегодня провести мощную DDoS-атаку не составляет труда, а главное — из в года в год это становится всё дешевле. Стоимость варьируется от 5 долларов до нескольких сотен за час, в зависимости от типа атаки и уровня защищенности цели.
За последние несколько лет DDoS из самостоятельного метода атаки превратился во вспомогательный. Теперь его целью служит не столько нарушение работы IT-инфраструктуры, сколько отвлечение сотрудников компании от более важных событий безопасности и заметание следов взлома. Это неизбежно приведет к необходимости увеличения уровня автоматизации работы систем предупреждения и предотвращения атак, чтобы дать возможность специалистам по ИБ максимально эффективно выполнять свои обязанности.