DDoS-атаки в IV квартале 2020 года

Обзор новостей

Злоумышленники постоянно ищут способы и инструменты, позволяющие сделать атаки более разрушительными. В четвертом квартале 2020 года таким инструментом стали контроллеры доставки приложений Citrix ADC. Киберпреступники злоупотребляли DTLS-интерфейсом устройств. Протокол DTLS (Datagram Transport Layer Security) используется для установления защищенных соединений по протоколу UDP, через который передается, в частности, большая часть DNS-запросов, а также аудио- и видеотрафика. Для усиления атаки злоумышленники отправляли запросы на устройства с включенным DTLS-интерфейсом, подделывая IP-адреса жертв. В результате те получали ответные пакеты в несколько раз большего размера. В случае с устройствами Citrix объем мусорного трафика мог увеличиться в 36 раз. После того как об атаках стало известно, производитель оперативно выпустил обновление прошивки, позволяющее настроить проверку входящих запросов. Тем же, кто не использует DTLS, в целях борьбы со злоупотреблением рекомендуется просто отключить этот протокол.

Еще одна примечательная атака в декабре затронула сайт bitcoin.org, на котором хранится Bitcoin Core — одна из наиболее широко используемых программных версий биткойна. На некоторое время ресурс оказался недоступен, однако криптолюбители-новички могли загружать копию Bitcion Core с торрентов. Скорее всего, атака связана с курсом биткойна, который планомерно рос весь прошедший квартал. По словам одного из специалистов, поддерживающих bitcoin.org, ресурс постоянно пытаются вывести из строя, когда биткойн на подъеме.

В целом события четвертого квартала держались в рамках трендов 2020 года. Злоумышленники использовали имена известных APT-групп для запугивания жертв, требовали выкуп в криптовалюте и устраивали демонстрационные атаки, подкрепляющие их угрозы. Активность вымогателей регулярно попадала в новости в течение всего 2020 года. В октябре очередной жертвой стала норвежская телекоммуникационная компания Telenor Norway.

С момента перехода школ и вузов на дистанционный формат обучения злоумышленники пытались сорвать занятия, завалив мусорным трафиком образовательные платформы. Этот тренд также продолжился в последние месяцы 2020 года. В октябре перебои со связью испытывали школы в городках Сэндвич и Тингсборо штата Массачусетс. В обоих случаях образовательные учреждения изначально рассматривали версию технического сбоя и только позже выявили атаку. В декабре о DDoS сообщил канадский Лаврентийский университет. Вуз справился с проблемой за несколько минут. Так или иначе, подобные атаки к концу года стали достаточно серьезной напастью, чтобы ФБР отметило их в декабрьском предупреждении как одну из основных угроз для образовательных учреждений. Учебным заведениям рекомендуется использовать решения для защиты от DDoS и строгие настройки брандмауэра, а также сотрудничать с интернет-провайдерами.

Не обошлось и без атак на игровые платформы. Так, по данным издания ZDNet, в числе мишеней атаки с усилением через устройства Citrix были Xbox и Steam. В начале октября о DDoS сообщила команда PUBG Mobile.

Dear players,

The PUBG MOBILE team are currently actively working to resolve the DDoS attacks against our systems and the new hacking issues. For information, please check out here: https://t.co/DMYsxWTlCc

— PUBG MOBILE (@PUBGMOBILE) October 3, 2020

А европейские серверы Blizzard пострадали от действий злоумышленников дважды за квартал.

We are currently experiencing a DDoS attack, which may result in high latency and disconnections for some players. We are actively working to mitigate this issue #BlizzCS

— Blizzard CS EU (@BlizzardCSEU_EN) October 2, 2020

В конце декабря несколько десятков известных стримеров планировали отметить окончание 2020 года прохождением Rust на одном сервере. С первой попытки шоу не удалось. Предположительно игру сорвала DDoS-атака, хотя достоверных данных на этот счет нет. Учитывая ажиотаж вокруг события, причиной сбоя мог стать и наплыв зрителей. В 2020 году, когда большая часть жизни переместилась в Сеть, интернет-ресурсы неоднократно страдали из-за резкого всплеска легитимной активности.

Что касается ответных мер, то самым заметным событием четвертого квартала стал приговор бывшему участнику Apophis Squad, который устраивал DDoS-атаки, в том числе с целью вымогательства, а также срывал занятия в школах разных стран, рассылая сообщения о заложенной в здании бомбе, и хранил детскую порнографию. За все «заслуги» злоумышленника присудили к 8 годам лишения свободы.

Продолжается и борьба с отдельными векторами атаки. Инженерный совет интернета (IETF) опубликовал предложение стандарта NTS (Network Time Security, «безопасность сетевого времени») — безопасной передачи данных по протоколу NTP (Network Time Protocol, «протокол сетевого времени»), который применяется для синхронизации времени по сети. Документ затрагивает, в частности, проблему усиления DDoS-атак через этот протокол и запрещает в ответ на запрос возвращать пакеты данных, превышающие размером пакет с запросом.

Тенденции квартала и года

В этот раз наш прогноз оправдался ровно наполовину: как мы и предполагали, в четвертом квартале 2020 года мы наблюдали показатели, сравнимые с показателями за аналогичный период 2019-го и даже незначительно превышающие их. Однако роста относительно третьего квартала 2020-го, который мы предсказывали в качестве возможной альтернативы, не произошло. Наоборот, общее количество атак снизилось приблизительно на 30%, а число умных атак — на 10%.

Сравнительное количество DDoS-атак, Q3 и Q4 2020 г., а также Q4 2019 г. За 100% приняты данные за Q4 2019 г. (скачать)

Тем не менее, интересно отметить качественные показатели: доля умных атак в четвертом квартале немного выросла, а данные о продолжительности показывают тенденцию к снижению продолжительности коротких атак и увеличению продолжительности длинных.

Доля умных атак, Q3 г. и Q4 2020 г., а также Q4 2019 г. (скачать)

Продолжительность DDoS-атак, Q3 и Q4 2020 г., а также Q4 2019 г. За 100% приняты данные за Q4 2019 г. (скачать)

Снижение числа DDoS-атак можно объяснить ростом криптовалютного рынка. Мы уже не раз писали — в том числе и в предыдущем отчете — об обратной зависимости между DDoS-активностью и ценой криптовалют. Когда мы делали прогнозы на четвертый квартал, едва ли кто-то ожидал настолько бурного роста: такого фактически не случалось еще никогда. Неудивительно, что операторы ботнетов перенаправили часть мощностей на майнинг.

Интересно отметить, что явное падение количества DDoS-атак относительно предыдущего квартала произошло за счет легких в организации атак, умные атаки просели незначительно. И это довольно логично: операторам ботнетов невыгодно продавать мощности по дешевке, упуская прибыль от майнинга, а при росте цен первыми отсекаются дилетанты — школьники, мелкие хулиганы и просто горячие головы, у которых нет серьезных причин для организации DDoS. Интересы профессионалов, в свою очередь, не теряют актуальности, несмотря на колебания рынка, особенно в богатый на праздники и онлайн-продажи четвертый квартал, поэтому они продолжают заказывать и организовывать атаки, причем в основном умные, поскольку рассчитывают на результат, а не на попытку.

Что мы увидим в первом квартале 2021 года, сказать сложно. Однако мы все больше укрепляемся во мнении, что рынок DDoS перестал расти и полностью стабилизировался после падения 2018-го. Текущие колебания связаны в основном с динамикой цен на криптовалюты и зависеть будут напрямую от них. Если в первом квартале криптовалюты начнут дешеветь, число DDoS-атак вырастет, и наоборот. При этом никакого взрывного роста или драматического падения мы не ожидаем. Если не случится ничего непредсказуемого (хотя последний год оно чаще случалось, чем нет), колебания на рынке DDoS останутся в пределах 30%.

Сравнительное количество DDoS-атак, 2019 и 2020 гг. За 100% приняты данные за 2019 г. (скачать)

Что касается итогов 2020-го в целом, то за год рынок вырос чуть менее, чем вдвое. Стоит отметить, что этот рост исключительно количественный: доля умных атак практически не изменилась.

Доля умных атак, 2019 и 2020 гг. (скачать)

Отдельный интерес представляют данные по продолжительности атак. В 2020 году средняя продолжительность сократилась примерно на треть, при этом максимальная ощутимо выросла в целом, хотя и осталась практически на прошлогоднем уровне в случае умных атак. Это говорит о том, что короткие атаки становятся короче, а длинные — длиннее; подобную тенденцию мы наблюдали и в четвертом квартале. Сложно сказать, с чем именно она связана, но можно предположить, что с тем же, что и все остальные тенденции года: серьезной нестабильностью обстановки, пандемией и взрывным ростом рынка криптовалют. Рынок DDoS меняется под воздействием этих факторов, меняются цели атак и их заказчики, а вместе с ними — и средняя продолжительность атак.

Продолжительность DDoS-атак, 2019 и 2020 гг. За 100% приняты данные за 2019 г. (скачать)

Статистика

Методология

«Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы Kaspersky DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля. При этом для начала защиты не требуется дожидаться заражения каких-либо пользовательских устройств или реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2020 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского». Следует также иметь в виду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем разделе данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Отметим, что в четвертом квартале 2020 года увеличилось число ботнетов, активность которых попадает в статистику DDoS Intelligence. Это может отразиться на представленных в настоящем отчете данных.

Итоги квартала

• По количеству DDoS-атак в четвертом квартале, как и ранее, лидировали Китай (58,95%), США (20,98%) и Гонконг (3,55%).
• TOP 3 регионов с наибольшим числом мишеней повторяет список лидеров рейтинга по количеству атак: Китай (44,49%), США (23,57%) и Гонконг (7,20%).
• В самые «тихие» дни количество DDoS-атак не превышало одной в день.
• Самым активным днем квартала с точки зрения DDoS стало 31 декабря, когда было зафиксировано 1349 атак.
• Больше всего DDoS-атак мы наблюдали по четвергам, а самыми спокойными в этом квартале оказались воскресенья.
• Доли очень коротких атак (71,63%) и очень длинных (0,14%) в четвертом квартале снизились, при этом доли всех промежуточных категорий выросли.
• В четвертом квартале изменилось распределение DDoS-атак по типам: на второе место вернулся UDP-флуд (15,17%), а четвертым по частотности стал ранее не упоминавшийся в наших отчетах GRE-флуд (0,69%).
• Linux-ботнеты использовались почти в 100% атак.
• Основная масса командных серверов ботнетов располагалась в США (36,30%), Нидерландах (19,18%) и Германии (8,22%).

География атак

Тройка стран-лидеров по числу DDoS-атак в четвертом квартале 2020 года осталась та же, что и в прошлый отчетный период. На первой строчке по-прежнему Китай (58,95%), однако его доля снизилась на 12,25 п. п. Второе место удерживают США (20,98%), доля которых, напротив, выросла на 5,68 п. п. Похожую картину — сокращение доли Китая и увеличение доли США по сравнению с третьим кварталом — мы наблюдали и в последние три месяца 2019 года.

Специальный административный район Гонконг (3,55%) потерял 0,92 п. п., но, несмотря на это, остался на третьем месте, которое он не покидает с начала 2020-го. На этом сходство с картиной третьего квартала заканчивается: Сингапур, в прошлый отчетный период находившийся на четвертой строчке, выбыл из десятки. На его место поднялась Великобритания (1,99%), прибавившая 1,72 п. п.

Пятую строчку занимает ЮАР (1,31%), вытеснившая Австралию (0,97%), которая опустилась на седьмое место, несмотря на то что увеличила свою долю на 0,32 п. п. Шестой стала Канада (1,04%), вернувшаяся в рейтинг после отсутствия в третьем квартале.

Нидерланды сместились на одну строчку вниз и заняли восьмое место (0,86%). А Индия и Вьетнам, как и Сингапур, покинули TOP 10. Замыкают рейтинг Германия (0,71%) и Франция (0,64%), в третьем квартале не дотянувшие до десятки.

Распределение DDoS-атак по странам, Q3 и Q4 2020 г. (скачать)

Состав первой десятки стран, в которых расположено наибольшее количество мишеней DDoS, традиционно похож на рейтинг по числу атак. Тройка лидеров та же самая: впереди Китай (44,49%), чья доля снизилась на 28,34 п. п., однако по-прежнему остается вне конкуренции. Вторыми следуют США (23,57%), доля которых выросла на 7,82 п. п. На третьем месте — Гонконг, увеличивший свою долю в рейтинге до 7,20%.

В TOP 10 по числу целей не вошла ЮАР, зато попал Сингапур (2,21%), выпавший из рейтинга по количеству атак. Его доля выросла на 1,74 п. п., однако относительно третьего квартала он сдал позиции и опустился на пятую строчку. Это связано с тем, что все страны десятки, кроме Китая, увеличили свою долю. Так, Нидерланды (4,34%), занявшие четвертое место, прибавили 4,07 п. п.

В остальном рейтинг отличается от рейтинга по числу атак только последовательностью стран. Канада (1,97%) опережает Великобританию (1,77%), а Австралия занимает последнюю строчку (1,29%), уступив Франции (1,73%) и Германии (1,62%).

Распределение уникальных мишеней DDoS-атак по странам, Q3 и Q4 2020 г. (скачать)

Динамика числа DDoS-атак

Четвертый квартал, как и ожидалось, прошел более бурно, чем третий. Начало отчетного периода выдалось спокойным: с 3 по 6 октября мы наблюдали всего по одной атаке в день. Однако уже 20 числа этого месяца было зафиксировано 347 атак, что превышает максимальное значение третьего квартала (323 атаки за один день). В конце октября и ноябре DDoS-активность колебалась между близкими к нулю значениями и двумя сотнями атак в день.

В последних числах ноября начался значительный рост, который продолжился до конца квартала, что, вероятно, объясняется увеличением числа ботнетов, отслеживаемых «Лабораторией Касперского», а также рождественскими и новогодними праздниками, подготовка к которым обычно сопровождается всплеском активности злоумышленников. Свою роль, скорее всего, сыграл и тот факт, что в 2020 году объем покупок онлайн — праздничных и не только — в целом вырос. Самым жарким днем с точки зрения DDoS в этом квартале стало 31 декабря. В этот день было зафиксировано 1349 атак по всему миру.

Динамика числа DDoS-атак, Q4 2020 г. (скачать)

В четвертом квартале самым активным днем недели остался четверг (17,67%), хотя его доля снизилась на 1,35 п. п. по сравнению с предыдущим кварталом. А вот самый спокойный день снова изменился — в этот раз злоумышленники предпочитали отдыхать по воскресеньям (11,19%). При этом разброс в количестве атак в «тихий» и «бурный» дни сократился до 6,48 п. п. В прошлом квартале разница составляла почти 9 п. п. Число атак, приходящихся на вторники, среды и пятницы, в последний триместр года выросло, а в остальные дни — наоборот, уменьшилось.

Распределение DDoS-атак по дням недели, Q3 и Q4 2020 г. (скачать)

Длительность и типы DDoS-атак

Средняя продолжительность DDoS-атак в четвертом квартале выросла по сравнению с предыдущим отчетным периодом. Это может быть обусловлено заметным снижением доли очень коротких атак, длившихся не более четырех часов (71,62% против 91,06% в третьем квартале), а также ростом количества более продолжительных атак. В частности, в отчетный период увеличились доли атак длительностью от 5 до 9 (11,78%), от 10 до 19 (8,40%), от 20 до 49 (6,10%), от 50 до 99 (1,86%) и от 100 до 139 часов (0,10%).

Доля сверхдлинных атак, напротив, уменьшилась на 0,09 п. п. и составила 0,14%. При этом она осталась выше доли атак, продолжавшихся от 100 до 139 часов, а длительность самой долгой атаки превысила 12 суток (302 часа), что заметно больше, чем максимум третьего квартала (246 часов).

Распределение DDoS-атак по длительности (в часах), Q3 и Q4 2020 г. (скачать)

Распределение DDoS-атак по типам сильно изменилось в четвертом квартале. Лидирует по-прежнему SYN-флуд, однако его доля уменьшилась на 16,31 п. п. и составила 78,28%. При этом значительно выросла доля UDP-флуда (15,17%), которая в первые три квартала не превышала 2%. Увеличилось и число TCP-атак (5,47%), а вот ICMP-флуда, до этого занимавшего второе место после SYN-атак, в четвертом квартале оказалось пренебрежимо мало, поэтому мы не включили его в статистику.

Зато в последние месяцы 2020 года засветился тип атак, ранее не упоминавшийся в наших отчетах — GRE-флуд (0,69%). GRE (Generic Routing Encapsulation, «универсальная инкапсуляция при маршрутизации») — это протокол туннелирования трафика, применяющийся, в частности, для создания виртуальных частных сетей (VPN). GRE-флуд использовал, например, ботнет Mirai для атаки на блог журналиста Брайана Кребса (Brian Krebs) в 2016 году.

Распределение DDoS-атак по типам, Q4 2020 г. (скачать)

Доля Windows-ботнетов в четвертом квартале впервые за историю наших наблюдений упала почти до нуля (0,20%). Практически все зафиксированные DDoS-атаки осуществлялись при помощи ботов на базе Linux.

Соотношение атак Windows- и Linux-ботнетов, Q3 и Q4 2020 г. (скачать)

Географическое распределение ботнетов

Большая часть командных серверов, управлявших DDoS-ботнетами в четвертом квартале 2020 года, располагалась в США. На эту страну пришлось 36,30% от общего числа серверов. На втором месте оказались Нидерланды, чья доля составила 19,18%. Замыкает тройку лидеров Германия с 8,22%.

Четвертое место по числу командных серверов заняла Румыния (4,79%), а пятое и шестое поделили между собой Франция и Великобритания: доля обеих стран составила 4,11%. Седьмая, восьмая и девятая строчки в этом квартале тоже отличились одинаковым количеством командных серверов: по 3,42% приходится на долю Венгрии, Канады и Вьетнама. Последним в десятке стран, на территории которых зарегистрированы управляющие ресурсы ботнетов, стал Китай (2,05%).

Распределение командных серверов ботнетов по странам, Q4 2020 г. (скачать)

Заключение

Четвертый квартал показал себя обычным и необычным одновременно. С одной стороны, не произошло никаких неожиданных рокировок в географическом распределении DDoS-атак и их мишеней, с другой — заметно изменилось распределение по типам атак: выросла доля UDP-флуда, на смену ICMP-атакам пришел GRE-флуд. Кроме того, впервые за все время наших наблюдений Linux-ботнеты захватили рынок DDoS практически полностью.

Крайне интересно было бы увидеть данные из альтернативного 2020-го, в котором не было бы пандемии и драматического роста криптовалют, а рынок DDoS развивался бы без потрясений. Эпидемия коронавируса рынок подтолкнула (мы писали об этом в первом и втором кварталах), а рост криптовалюты — замедлил (об этом мы писали в третьем квартале). Возможно, без этих событий картина в итоге вышла бы похожая, однако под их влиянием рынок DDoS в 2020-м серьезно штормило, поэтому половина наших прогнозов не сбылась.

Сложно сказать, чего стоит ждать от 2021 года — мы не можем предсказать, как будет развиваться ситуация с пандемией и курсом криптовалют. Поэтому наш прогноз будет очень осторожным: если обойдется без резких потрясений, то и рынок DDoS сильно не изменится. Предпосылок для значительного роста или падения как в первом квартале, так и в течение всего 2021 года мы не видим. Остается только стабильность, ее мы и ожидаем.