Сучасні кібератаки – чому і як варто захищати робочі канали від DDOS-атак

За лічені години до російського вторгнення Україна піддалася масованій DDoS-атаці. 23 лютого під ударом опинилися низка банків, вебсайти Верховної Ради, Кабміну та Міністерства закордонних справ. А Міносвіти для запобігання кібератаці закрило доступ до свого офіційного сайту. За даними Держспецзв'язку, лише впродовж першого місяця повномасштабної війни наша держава зазнала понад 3 тис. DDoS-атак. Рекордом стали 275 організованих кібератак за день, найпотужніші з яких перевищували 100 Гбіт/с.

За повідомленням Мінцифри, ще за тиждень до російської агресії Україна пережила наймасштабнішу в історії країни DDoS-атаку. 15 лютого хакери одночасно атакували ресурси Нацбанку, сайти Збройних сил і низки інших держорганів. Клієнти масово відчули перебої в роботі півтора десятка банків, зокрема – найбільших державних ПриватБанку та Ощадбанку. Не працювали також сайти Дії та Міністерства оборони України, навіть попри те, що останній був захищений від класичних DDoS-атак. У військовому відомстві назвали напад безпрецедентним і повідомили, що хакери "вдалися до пошуку вразливих місць у коді самого сайту". Щоб розв'язати проблему, українській ІТ-армії навіть довелося звернутися по допомогу до партнерів зі США, які надали технічні консультації та сервіси додаткового захисту в рамках міжнародної програми співпраці у сфері кібербезпеки.

Одночасно з рекордною DDoS-атакою активізувалися фішингові атаки на органи державної влади та об'єкти критичної інфраструктури, розповсюдження шкідливого програмного забезпечення, а також спроби проникнення до мереж приватного та державного секторів. Під час спільного брифінгу Мінцифри, СБУ, Держспецзв'язку, Кіберполіції, РНБО та Нацбанку, присвяченого рекордній кібератаці, Голова Мінцифри Михайло Федоров повідомив, що DDоS-атака велась з території кількох країн і коштувала мільйони доларів. За словами Голови Ради Незалежної асоціації банків України Олени Коробкової, "атаки були розумними, не такими, як раніше. Вони маскувались, що на сайт заходить багато користувачів і намагалися "ддоснути" програми та сайти банків".

Останнім часом масштабних кібератак зазнала і низка західних країн. У травні минулого року під удар потрапила бельгійська компанія Belnet. Сміттєвий трафік надходив із IP-адрес у 29 країнах світу. Внаслідок атаки вебсайти в доменній зоні BE стали тимчасово недоступні. Парламент Бельгії був змушений перенести кілька засідань. Транспортна компанія STIB мала проблеми з продажем квитків в терміналах і онлайн. А системи онлайн-запису на вакцинацію від COVID-19 виявилися заблокованими.

Від кібератаки також постраждала Національна служба охорони здоров'я Ірландії. Атака супроводжувалася вторгненням віруса-вимагача Conti, що використав DDoS як прикриття для проникнення у мережу компанії та викрадення даних.

Організовані кібератаки вже стали новою реальністю, від якої потерпають не лише держави, але й бізнес. За даними нашої компанії, кількість атак за І квартал 2021 року збільшилась на 17% у порівнянні з аналогічним періодом минулого року. Проаналізувавши джерела й способи атак, можна зробити висновок, що до 98% атак на вітчизняні компанії-виробники – комбіновані, коли DDоS слугує прикриттям для прихованих кібератак.

На першому етапі відбувається розподілена атака, мета якої – згенерувати велику кількість запитів, що перевищує можливість сервера або робочого інтернет-каналу. А відтак, "забити" всю смугу клієнта та зробити його ресурси недоступними для користувачів. Хакери надсилають з адрес "жертв" короткі запити на незахищені сервери чи обладнання, які відповідають "жертві" у сотні разів помноженим трафіком. І лише після цього розпочинається прихована атака на певну послугу з метою її виведення з ладу. Найчастіше клієнт не помічає другу частину, оскільки все одно не може працювати через "забиту" смугу.

Особливо вразливі для комбінованих атак банки та фінустанови, які мають багато відділень, значна частина з яких розташована у невеликих містечках і не оснащена належним захистом. Деякі з наших клієнтів раніше замовляли захист у кількох провайдерів. Однак останні мали недостатню сумарну місткість каналів на інтернет, через що провайдери й самі "лягали" під DDoS-атаками.

Для розв'язання проблеми наші інженери створили для клієнтів віртуальну платформу ARBOR Sightline. Перш ніж потрапити до кінцевого користувача, весь інтернет-трафік спершу надходить на спеціальний роутер, де аналізується десятками "розумних" алгоритмів на наявність сміттєвого трафіку.

Якщо атака не відбувається, то інформація (саме інформація) про трафік надходить до системи аналізу. Всі маршрутизатори до системи надсилають інформацію про трафік, сам трафік іде прямо.

Якщо система бачить, що починається атака і у клієнта активована послуга захисту, то весь трафік направляється на систему очищення і звідти до клієнта. Якщо послуга захисту не підключена, то приходить алерт про початок атаки. Алерт направляється до клієнта для прийняття рішення про подальші дії.

Оскільки віртуальна платформа Arbor Sightline не є суто апаратним рішенням, вона дає змогу гнучко направляти трафік на аналіз і очистку, екстрено замінювати елементи мережі для безперебійного захисту та збільшувати потужності TMS (Threat Mitigation System) для ефективної роботи системи. Завдяки розширеним можливостям детектування та відображення DDoS в реальному часі, а також автоматичним оновленням безпеки, комплекс забезпечує відбиття як від відомих, так і нових DDoS-атак.

Спільними зусиллями цивілізовані країни вчаться успішно відбивати навіть наймасштабніші DDoS-атаки, які коштують мільйони доларів. Водночас власні сучасні системи кіберзахисту успішно застосовують і провідні українські IT-компанії. Їхні сервіси забезпечують клієнтам надійний захист від наявних і потенційних атак, задають тренди у сфері глобальної кібербезпеки.