Впервые сайты четырех российских СМИ атакованы одним ботнетом

Впервые сайты четырех российских СМИ атакованы одним ботнетом

Сайты «Новой газеты», Slon.ru, радиостанции «Эхо Москвы» и телеканала «Дождь» были атакованы 12 июня одним ботнетом, состоящим из 133 000 зараженных компьютеров. Это уже третья и самая мощная волна DDoS-атак на те же интернет-СМИ за последние полгода. Атаки были нацелены не только на исчерпание ресурсов серверов СМИ, но и на забивание каналов связи. Согласно статистике сети фильтрации Qrator, суммарный объем флуда (ICMP, UDP, TCP) составил 5 Гбит/с.

Во время декабрьских и майских инцидентов каждое СМИ атаковал отдельный ботнет. Вчера пересечение атакующих IP-адресов впервые составило 35 %. Подобный характер серии DDoS-атак позволяет предположить, что за ее организацией стоит один исполнитель и заказчик.

Сайты slon.ru, tvrain.ru и echo.msk.ru были атакованы 12 июня в 11:00 мск. DDoS-атака на сайт novayagazeta.ru началась часом позже и была мощнее: 800 Мбит/с в пике, 83 000 ботов, 2 500 запросов в секунду. Наименьший удар пришелся на slon.ru: 450 Мбит/с в пике, 8 000 ботов, 1 500 запросов в секунду.

Однако главные события разворачивались после 16:00 мск. К атаке на echo.msk.ru и tvrain.ru, помимо 80-тысячного ботнета, были подключены выделенные сервера, генерировавшие большой поток SYN-флуда и UDP-флуда. Суммарно только эти генераторы создавали трафик объёмом около 2 Гбит/с на фоне непрекращающейся атаки прикладного уровня мощностью более 5 000 запросов в секунду.

Источники генераторов трафика были расположены относительно локально, что создало проблемы при балансировке нагрузки с использованием механизмов BGP. Управляя политиками маршрутизации, инженеры Qrator изолировали паразитный трафик на одной точке фильтрации, что позволило, временно деоприоретизировав трафик, идущий из-за рубежа, оперативно предоставить доступ к информации для российских пользователей. В течение получаса был найден оптимальный способ разрешения инцидента, после чего сайты СМИ стали доступны для всех легитимных пользователей.

Больше всего компьютеров-зомби расположено в Индии – 12475 машин, следом идут Пакистан, Германия, Россия, Египет, Индонезия, Украина, Израиль, Тринидад и Тобаго и другие страны. Стоит заметить, что доля России в ботнете незначительно отстала от лидирующей Индии – 9 908 машин.

По состоянию на 15:00 мск 13 июня DDoS-атака продолжается на сайт телеканала «Дождь»: сеть Qrator фиксирует свыше 410 Мбит/с ICMP-флуда и более 36 000 ботов. Сайт работает в штатном режиме.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Каждое четвертое приложение для Android потенциально уязвимо

25% приложений для Android используют уязвимую библиотеку Android Jetpack, которая входит в средства разработки. Брешь позволяет потенциальным злоумышленникам перехватывать контроль над приложениями и получать любые данные, а также использовать устройства для подслушивания и в качестве камеры слежения.

Об обнаружении уязвимости в Android Jetpack, которая позволяет потенциальному злоумышленнику запускать любые фрагменты в навигационном графе, еще в марте сообщил эксперт по безопасности приложений Positive Technologies Андрей Песняк.

Google ограничился лишь предупреждением на странице описания обработки диплинков.

«В нем содержится ссылка на страницу «Conditional navigation», которая описывает очевидные решения с проверкой состояния доступа к запрашиваемому Фрагменту. Но давайте будем честны и подумаем, как часто мы заглядываем в документацию, особенно после того, как функциональность приложения уже написана? Кажется, что чуть реже, чем никогда», — уверены эксперты «Стингрей Технолоджиз» Юрий Шабалин, Веселина Зацепина и Игорь Кривонос.

Юрий Шабалин в комментарии для «Известий» оценил долю приложений для Android, которые подвержены данной уязвимости в 25%. Он предупредил, что ее наличие позволяет открывать фрагменты (экраны) внутри приложения и передавать в него любые данные. При этом абсолютно неважно, что разработчик указывал в коде и какие ограничения устанавливал.

Генеральный директор «Акрибия» Сергей Иванов конкретизировал угрозы:

«Из-за таких брешей злоумышленники могут подменить экран приложения своим и украсть все данные, которые вводит пользователь, — логин, пароль, реквизиты карты. Чтобы выявить проблему, важно обращать внимание на непривычное поведение программы: она не должна запускаться самостоятельно, а ее экраны должны выглядеть привычно».

Ведущий эксперт Kaspersky GReAT Татьяна Шишкова в комментарии для «Известий» также отметила, что Google в сентябре выпустили обновленную версию 2.8.1, где уязвимость была устранена. Она порекомендовала разработчикам или обязательно обновить Android Jetpack, или отказаться от ее использования.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru