Первый квартал 2022 года оказался беспрецедентным с точки зрения DDoS-активности, напрямую связанной с событиями на Украине.
Основу атак составили нападения хактивистов, выражающих свой социальный протест посредством организации кибератак и при этом не ищущих финансовой или иной выгоды.
Хактивисты представляют собой разрозненные группы людей, объединенных лишь мотивацией — подавить различные веб-ресурсы и онлайн-сервисы в ходе социально-политического конфликта. У таких группировок обычно отсутствует руководство, а в качестве средств координации для выбора цели атаки, методов и сроков нападения они используют обычные мессенджеры.
В первом квартале 2022 года был зафиксирован рекордный инцидент, в котором оказалось задействовано 901 600 устройств.
Атаки на шифрование
В первом квартале этого года среди кибернападений преобладали атаки уровня приложения (Application Layer, L7). В них используется шифрованный трафик, а запросы походят на трафик легитимных пользователей. Для очистки такого трафика требуется большое число вычислительных мощностей, поэтому этот класс атак является наиболее сложным в обнаружении и фильтрации.
Дополнительно в топ вышли атаки на шифрованный трафик TLS handshake. Рукопожатие TLS — это этап установки HTTPS-соединения, в рамках которого выполняется вся криптографическая работа для осуществления безопасного соединения. Техника атак на TLS handshake является максимально доступной для нападающих, а из-за того, что у многих операторов связи решения для защиты от DDoS-атак не поддерживают анализ TLS, она является еще и чрезвычайно эффективной.
Большая доля техник, использующихся для организации L7 атак, приходится на Request Rate Patterns и Broken HTTP Semantics (25,9% и 35,13% соответственно), что характерно для инструментария, популярного у хактивистов — LOIC/MHDDoS . Именно хактивисты используют эти наиболее простые в применении техники для организации киберпротеста. Тогда как, например, более изощренные атаки используют полноценную эмуляцию веб-браузера что усложняет выявление и фильтрацию таких атак.
Количество DDoS-атак полосой до 10 Гб/с выросло на 19,09%, по сравнению с четвертым кварталом 2021 года. Тогда как число высокоскоростных нападений более 100 Гб/с уменьшилось на 6,32%. Это подтверждает факт преобладания DDoS-атак на TLS handshake и Application Layer в начале 2022 года, поскольку все атаки на шифрование являются низкоскоростными.
Инциденты BGP
8 марта был зафиксирован массовый перехват трафика (BGP Hijack) для сетей РФ, в ходе которого было зафиксировано 3912 конфликтов с легитимными сетями. Инцидент затронул 146 автономных систем по всему миру.
Виной тому оказался интернет-провайдер Lurenet, который перетягивал на себя трафик многих сетей, принадлежащих в первую очередь российским интернет-провайдерам, таким как Ростелеком, Мегафон, Билайн, МТС, ТрансТелеком. В результате чего пользователи из разных стран не могли получить к ним доступ. Перехват трафика был особенно заметен для пользователей из России, Гонконга, Индонезии, США.
Данный инцидент общей длительностью более 10 часов представлял собой умышленную организацию блокировки российских ресурсов. Такой вид блокировки возможен в случае нелегитимного анонсирования оператором сетей, ему не принадлежащих. Для защиты от подобного вида инцидентов разработан и активно внедряется механизм RPKI валидации, основанный на использовании современных криптографических методов. В данном инциденте сети были недоступны, поскольку не все автономные системы используют RPKI валидацию для предотвращения перехватов трафика.
В России только 18,1% автономных систем полностью внедрили RPKI валидацию, а 26,5% только начали разворачивать механизмы защиты. Однако и мировые показатели так же не столь высоки: полное внедрение — у 24,1%, а 33,8% находятся в процессе реализации.