Arbor: осенние DDoS преподали хороший урок

Наблюдая новую волну DDoS-атак на американские банки, Arbor Networks отметила особенности этой серьезной целевой кампании, стартовавшей несколько месяцев назад, и призвала интернет-сообщество пересмотреть устаревшую стратегию анти-DDoS обороны.

DDoS-трафик мощностью в десятки гигабайт, о котором идет речь, впервые обрушился на сайты крупнейших финансовых организаций США в минувшем сентябре. По оценке экспертов, это была в большой степени публичная, сфокусированная, тщательно подготовленная и адекватно проведенная акция. Злоумышленники атаковали сразу несколько мишеней и варьировали технику, проводя атаки как на сетевом уровне, так и на уровне веб-приложений. В качестве ботов атакующие использовали большое количество скомпрометированных php-приложений, а также внедряли специализированные DDoS-скрипты на легальные сайты, проникая через уязвимости в компонентах php-приложений, таких как Joomla, или в плагине TimThumb. К слову сказать, устаревшие версии последнего не раз оказывались первопричиной массового взлома WordPress.

По данным Arbor, главной составляющей инструментария, использованного в сентябрьских DDoS-атаках, является Brobot, он же itsoknoproblembro. В отдельных случаях flood-трафик составляли KamiKaze-пакеты, или Christmas-tree packets. Как уже говорилось, объемные комбинированные атаки проводились на разных уровнях, с использованием протоколов TCP, UDP, ICMP, а также HTTP и HTTPS. Злоумышленники одновременно атаковали несколько мишеней ― крупные компании одной бизнес-вертикали.

Ответственность за проведение DDoS-атак на американские банки взяла на себя хактивистская группировка, именуемая «кибервоины Изз ад-Дин аль-Кассама» (Izz ad-Din al-Qassam Cyber Fighters). В начале декабря ее участники объявили о переходе ко второй фазе своей «операции Абабиль» и, не меняя тактики, вновь ударили по тем же мишеням. По данным Arbor, в декабрьских DDoS-атаках, помимо того же Brobot, участвовала его новая, усовершенствованная версия (Brobot v2). На пике мощность этих атак составила 60 Гб/с., однако банки, наученные горьким опытом, уже лучше справлялись с такими перегрузками. Тем не менее, судя по сообщениям в прессе, страдания американских финансистов и их клиентов еще не закончились.

Подводя итог наблюдаемой DDoS-кампании, Arbor отмечает, что атаки такой степени сложности трудно не только исполнять, но и отражать. Учиться на ошибках должны все заинтересованные стороны: мишени дидосеров, поставщики услуг по управлению информационной безопасностью, администраторы сайтов и веб-приложений, сообщество вендоров. Типовые инструменты безопасности, такие как брандмауэры и системы предотвращения вторжений, являются важным элементом многоуровневой обороны, но плохо защищают от DDoS и в случае направленной атаки могут создать узкое место. Чтобы эффективно бороться с современными комплексными DDoS-угрозами, бизнес-структурам требуются специализированные средства на местах, способные собирать данные об инциденте в реальном времени. Провайдерам облачных DDoS устойчивых сервисов тоже следует привести в соответствие свой арсенал средств защиты, если они хотят сохранить эффективность функций во время множественных комплексных атак. При этом необходимо, чтобы все составные части комплекса DDoS защиты, как корпоративные, так и облачные, работали слаженно, помогая атакуемому ресурсу выстоять и свести к минимуму последствия разрушительной атаки.