Глава Qrator Labs: текущие кибератаки можно назвать попыткой тотального уничтожения российского сегмента интернета

Александр Лямин рассказал о динамике DDoS-атак после начала спецоперации

Москва. 27 апреля. INTERFAX.RU - С начала специальной операции России на Украине продолжаются кибератаки на российский сегмент интернета. Правительство в лице Минцифры и госоператор "Ростелеком" уже называли эти атаки беспрецедентными. Что преследуют атакующие, какой тип атак встречается чаще всего и когда ситуация вернется к норме, в интервью спецкорру "Интерфакса" Ирине Ли рассказал Александр Лямин, основатель и глава компании Qrator Labs, специализирующейся на предотвращении DDoS-атак.

- Какую динамику по DDoS-атакам вы видите за последние месяцы?

- Мы подготовили отчет за первый квартал этого года. Видим мощный всплеск 24 февраля, две недели кромешного ада, а потом уже поспокойнее - но в разы больше, чем обычно. В этот период мы зафиксировали рекордный инцидент, в котором было задействовано 901 600 устройств. Атаки идут нон-стоп. Но в самих них нет ничего экстраординарного, за исключением некоторых случаев.

Количество IP-адресов, задействованных в злонамеренной активности. График иллюстрирует интенсивность DDoS-инцидентов в течение 1 квартала 2022 года.

Данные: Qrator Labs

Многие государственные органы, чтобы предотвратить эти атаки, блокировали доступ из-за рубежа именно по геолокации IP. Почему мы против такого подхода? IP-адреса мобильны: их сдают в аренду, продают, они перемещаются между странами. Но, зная о применении такой контрмеры, можно использовать для атаки "российские" IP. В итоге получается, что блокировка по такому методу не работает.

- То есть кто-то намеренно маскировал атаки под российские IP-адреса, чтобы как раз избежать таких блокировок?

- Совершенно точно можно сказать, что в России любят блокировать по геолокации и поэтому атакующие использовали российские айпишники. Но блокировки по геолокации не являются эффективными для борьбы с DDoS-атаками в современных реалиях.

- Какой тип атак преобладает? Это, в основном, DDoS?

- Среди киберинцидентов первого квартала 2022 года преобладают атаки уровня приложения (Application Layer, L7). Их трафик максимально схож с активностью легитимных пользователей. Для организации подобных атак чаще всего используется шифрованный HTTPS-трафик, для очистки которого требуется большое количество ресурсов и вычислительных мощностей, поскольку к обработке незашифрованных запросов добавляется криптографическая нагрузка. Этот класс атак - наиболее сложный в обнаружении и фильтрации.

В топ также вышли атаки на шифрованный трафик TLS handshake - это этап установки HTTPS-соединения, в рамках которого выполняется вся криптографическая работа для осуществления безопасного соединения. Эта техника является максимально доступной для нападающих, а из-за того, что у многих операторов связи решения для защиты от DDoS-атак не поддерживают в достаточном объеме анализ TLS, она является еще и чрезвычайно эффективной.

В основном это хактивизм. То есть стихийно самоорганизуются люди, которые хотят высказать свой протест. Для координации используются чаты в Telegram и других мессенджерах, социальных сетях, где они обсуждают цели, методики, инструментарий и, как правило, это атаки базового уровня. Что было особенным - это массовый характер.

Наша специфика DDoS, но если спросить коллег, уверен, что были и взломы и атаки с шифрованием и удалением данных. Вспомните историю с Wildberries. Обычно это все идет вместе: с DDoS-атаками идут взломы, попытки кражи информации и ее публикации - случай с "Яндекс.Едой". Эти все инциденты идут вместе, так как кумулятивный эффект от взлома и DDoS гораздо выше.

Отдельно стоит отметить атаки на "инфраструктурные сервисы", такие как DNS (служба имен, отвечает за преобразование имени в IP адрес). Обычно никто не задумывается о том, насколько критичен этот сервис. К тому же, часто компании покупают "хостинг DNS" у той же компании-регистратора, где и приобреталось доменное имя. Но такие легкие решения приводят к тяжелым последствиям, как было с отключениями одного из крупнейших регистраторов Ru-Center: они также предоставляют услуги DNS-хостинга, а если DNS не работает, то ничего больше не работает. И у них на протяжении пары месяцев этот DNS-хостинг сбоил день, полдня, а это значит, что все клиенты, которые там "хостились", были недоступны, и среди них - крупнейшие российские организации.

И это не только госорганизации, но коммерческие структуры тоже. Все подряд.

- Какие цели были у атакующих, на ваш взгляд?

- Представьте, что у вас в один момент "отваливаются" Госуслуги, налоговая инспекция, новостные сайты, магазины, терминалы оплаты - у обывателя возникает ощущение полного апокалипсиса и паника. Точно можно сказать, что били по всем секторам: платежные системы, логистика, СМИ, инфраструктурные организации - проверяющие центры, криптографические организации и так далее. Можно сказать, попытка тотального уничтожения российского сегмента интернета.

- А как эта попытка тотального уничтожения российского сегмента интернета коррелирует с тем, что профессиональное сообщество против того, чтобы исключать интернет в России извне?

Увы, в текущей ситуации политики редко прислушиваются к мнению профессиональных сообществ и экспертов. К сожалению, те сценарии, которые казались абсолютно абсурдными еще два месяца назад, сейчас вполне реальны.

- Насколько эти атаки можно назвать успешными?

Как только атака попала в прессу, как только социум обнаружил, что какой-то сервис не работал или были сбои, это значит, что атака была успешной. В прессе за последних два месяца таких сообщений было много.

Отдельно можно сказать про СМИ: они являются мишенью номер один в момент, когда общество проходит через точки бифуркации. Потому что тот, кто контролирует информационные потоки в эти важные моменты, контролирует направление, по которому идет общество. Поэтому СМИ всегда цель номер один, когда происходит что-то социально значимое, - выборы, спецопеорации, финансовые кризисы и так далее. Для СМИ DDoS-атаки - это комплимент.

- Как происходит типичная DDoS-атака, которая сейчас встречается чаще всего?

- На сайте появляется дополнительный трафик, в сотни тысяч раз превышающий обычный. Информационная система не справляется, и пользователи вместе с атакующими получают неработающий сайт. Любая атака так и устроена: найти в вашей информационной инфраструктуре узкое место с конечным ресурсом, потребить этот конечный ресурс паразитным трафиком так, что нормальным пользователям его просто не остается.

DDoS - это не только про сайты, это все, что работает в сети. Они могут быть нацелены и на любые сетевые приложения, "интернет вещей", промышленные датчики, кассовые аппараты - все, что работает через публичные сети.

- Минцифры и "Ростелеком" называют эти атаки беспрецедентными. Вы согласны?

- По сложности исполнения, по интенсивности они достаточно обычны, базового уровня. По общему количеству они действительно беспрецедентные.

- Я знаю по наблюдениям, что госсайты не открываются из-за границы и, например, чтобы открыть Госуслуги, людям приходится ставить российский VPN. Это из-за "фильтрации зарубежного трафика", о чем сообщало Минцифры?

- Это та самая блокировка по геолокации, о которой я вам говорил, - они ее используют как метод защиты от атаки. Но на деле это работает плохо. Часть российских граждан, которые находятся на территории РФ, тоже остаются без доступа к госсайтам, потому что точность этих IP-данных невелика - погрешность до 10%. Мы категорически не рекомендуем, как эксперты, эту методику использовать. То есть, какую-то часть атак это снимет, но часть даже российских адресов останутся без доступа, например, к электронным госуслугам.

- Какие тогда есть механики по защите?

- То, как это делают специализирующиеся на защите от DDoS-атак участники рынка, - поведенческий анализ трафика и уже на его основе блокировки, опираясь на математические модели: если трафик вредоносный, идет блокировка.

- Получается такой анализ постфактум?

- Получается, что постфактум. Нужно пропустить некоторое количество запросов. Если у приложения есть хотя бы двукратный запас производительности - проблем не возникнет. Как максимум - приложение получит деградацию на несколько минут в момент начала атаки. Да, решение не идеальное, но в разы лучше, чем геоблокировка.

- А что вы думаете о попытках государства самим вводить какие-то механики защиты? Например, СМИ писали, что РКН на своем оборудовании строит защиту от DDoS-атак.

- У этой инициативы, на мой взгляд, ограниченные перспективы. Проблема DDoS-атак не решается без интеграционного процесса: без полного анализа инфраструктуры и приложений бизнеса, анализа уровней критичности. Не бывает такого, что один размер подходит всем.

- То есть централизованные истории не работают?

- Да. Мы видели, что подобные централизованные подходы пытались реализовать например, в Китае, Чехии, но успешными их назвать сложно. И, на мой взгляд, по сравнению с затраченными ресурсами, это не является прагматичным.

- Что будет дальше с кибератаками, сойдут ли они на нет?

- Очевидно, что пик пройден. Сейчас их уже раза в два меньше по сравнению с началом марта. До 24 февраля у нас было 100 тыс. заблокированных IP-адресов. Потом был всплеск до 3,5 млн - это были абсолютные пиковые данные. Потом, начиная с 10 марта, резкое падение до 1 млн, 800 тысяч. Но по сравнению со 100 тысячами, которые мы имели фоном до событий на Украине, это на порядок выше. Сейчас такие значения уже новая норма.

Спад этой активности будет напрямую зависеть от политической и военной активности. Как только все множество событий (боевые, политические, экономические), как только острота украинских событий спадет, то, я надеюсь, что атаки тоже вернутся к норме. Если же будет обострение, то мы можем побить и текущие рекорды. Выдыхать пока нельзя.