DDoS-атаки в четвертом квартале 2019 года

Обзор новостей

В минувшем квартале организаторы DDoS-атак продолжили осваивать нестандартные протоколы в целях амплификации. Вслед за WS-Discovery, о котором мы упоминали в прошлом отчете, киберпреступники обратились к службе Apple Remote Management Service (ARMS), которая входит в состав приложения для удаленного администрирования Apple Remote Desktop (ARD). Первые атаки с использованием ARMS были зафиксированы еще в июне 2019 года, однако к началу октября протокол попал в арсенал платформ, предоставляющих DDoS как услугу, и такие атаки стали массовыми. По данным портала binaryedge.io, в начале квартала почти 40 тыс. систем под управлением macOS с включенной службой ARMS были доступны онлайн.

Четвертый квартал запомнился также растущим количеством пиринговых (P2P) ботнетов. В отличие от классических, они не зависят от командных серверов, поэтому их сложнее обезвредить. В четвертом квартале 2019 года исследователи из компании 360 Netlab рассказали о двух новых таких ботнетах. Первый, получивший имя Roboto, атакует Linux-серверы через известную уязвимость в приложении для удаленного администрирования Webmin. Эксперты отмечают, что ботнет пока не проводил DDoS-атак, хотя такая функциональность в нем присутствует. Вторая P2P-сеть, Mozi, нацелена на IoT-устройства и распространяется с помощью протокола DHT, применяемого в распределенных сетях, таких как BitTorrent, который позволяет быстро сформировать пиринговую сеть. Часть кода авторы Mozi предположительно позаимствовали у зловреда Gafgyt, нацеленного на создание «классического» ботнета.

Разработчики самого Gafgyt тоже обновили свое творение. Исследователи из Palo Alto Networks обнаружили новую версию зловреда, атакующую роутеры моделей Huawei HG532, Realtek RTL81XX и Zyxel P660HN-T1A. Новая версия бота научилась удалять с зараженных устройств своих конкурентов.

Пока одни киберпреступники обновляют свой арсенал, другие используют уже зарекомендовавшие себя методы и инструменты. Так, в октябре и ноябре 2019 года исследователи наблюдали волну атак с отражением TCP-трафика. В основе этого метода лежит отправка запросов легитимным сервисам от лица жертвы, в результате чего ее заваливает ответными сообщениями, а IP-адреса злоумышленников не «светятся». Последние два года актуальность таких атак растет. В октябре жертвой злоумышленников стал букмекерский ресурс Eurobet, вслед за ним под удар попали еще несколько организаций, принимающих ставки на спорт. В последних числах месяца атаки с отражением трафика накрыли финансовые и телекоммуникационные компании Турции. Также среди пострадавших организаций называют Amazon и SoftLayer (дочка IBM).

В четвертом квартале продолжились атаки на интернет-провайдеров в Южной Африке. В конце октября злоумышленники завалили мусорным трафиком компанию Echo Service Provider, обслуживающую локальных провайдеров Afrihost, Axxess и Webafrica. Клиенты этих организаций столкнулись с перебоями при подключении к зарубежным сегментам интернета. Примерно месяц спустя атака повторилась, а список ее жертв пополнили провайдеры RSAWEB и Cool Ideas.

Среди DDoS-атак на коммерческие организации стоит так же выделить развернувшуюся в октябре кампанию против финансовых учреждений Южной Африки, Сингапура и скандинавских стран. Злоумышленники рассылали жертвам письма с угрозой вывести их системы из строя и требованием выкупа, а в подтверждение серьезности своих намерений проводили короткую показательную DDoS-атаку. Для большей внушительности они представлялись довольно известной группировкой Fancy Bear и предлагали жертвам поискать в Сети информацию о ее прошлых подвигах. После публикации материала об атаках в СМИ вымогатели «переименовались» в Cozy Bear.

Любопытно, что, вопреки ожиданиям, в СМИ не попало ни одной масштабной DDoS-атаки, связанной с распродажами и предпраздничным ажиотажем. Зато не обошлось без политических инцидентов. Так, 11 и 12 ноября, за месяц до парламентских выборов в Великобритании, злоумышленники пытались вывести из строя ресурсы лейбористской партии.

В декабре от DDoS пострадали СМИ Киргизии, опубликовавшие расследование о расходах супруги одного из бывших чиновников. В общей сложности противники этого материала временно вывели из строя семь изданий. Позже ряды пострадавших пополнил еще один новостной портал, но, возможно, уже по другому поводу.

Идеологической можно назвать и атаку на сервер Minecraft в Ватикане, который подвергся бомбардировке мусорным трафиком сразу после запуска. Цель запуска сервера — создание для игроков «менее токсичной среды», однако проект привлек не только мирных игроков. Впрочем, в Ватикане уже работают над защитой. Озаботились борьбой с DDoS и в компании Ubisoft. Разработчики приняли комплекс мер по защите серверов игры «Tom Clancy’s Rainbow Six: Осада», ранее регулярно подвергавшихся атакам. В результате количество инцидентов, по данным представителей Ubisoft, снизилось на 93%.

Правоохранители тоже отметились в борьбе с DDoS. Так, в начале ноября власти Китая сообщили об аресте группы, управляющей ботнетом более чем из 200 тыс. зараженных сайтов. Операция прошла в 20 городах, задержан 41 человек. Во второй половине того же месяца в США приговорили к 13 месяцам заключения Сергея Усатюка, который совместно с неизвестным резидентом Канады сдавал в аренду мощности для осуществления DDoS-атак. Преступники действовали с 2015 по 2017 год. За первые 13 месяцев работы их сервиса им воспользовались 386 тыс. клиентов, которые провели 3,8 млн DDoS-атак.

Тенденции квартала и года

В полном соответствии с нашими прогнозами, в четвертом квартале 2019 года мы увидели прирост числа атак относительно предыдущего отчетного периода. Если по общему количеству инцидентов рост оказался не слишком велик, то умные атаки выросли на четверть, что немало. Причем увеличилось не только количество атак, но и их средняя продолжительность. Этого можно было ожидать, поскольку четвертый квартал — это сезон праздников, покупок, «битвы за ритейл», и рост атак с октября по декабрь мы наблюдаем каждый год.

Если сравнивать показатели четвертого квартала с показателями аналогичного периода прошлого года, можно увидеть почти двукратный прирост в 2019-м. Конец 2018 года действительно был очень спокойным, мы только начали наблюдать новый рост рынка атак после значительного падения, о чем и писали в прошлогоднем отчете. Тогда мы прогнозировали дальнейший рост числа атак и не ошиблись. Это хорошо видно при сравнении данных за полные 2018 и 2019 годы.

Сравнение количества и продолжительности DDoS-атак в третьем и четвертом кварталах 2019 г., а также в четвертом квартале 2018 г. За 100% принимаются значения четвертого квартала 2019 г. (скачать)

В целом по сравнению с 2018 годом, в 2019-м мы наблюдали явный рост по всем показателям. Особенно значительно выросло общее количество умных атак, как и средняя их продолжительность. В прошлом году мы предполагали рост DDoS-атак, но такого скачка не ожидали.

Максимальная продолжительность атак тоже увеличилась, хотя и не так значительно. При подсчете соответствующих показателей мы исключили из статистики аномально длинную атаку, проведенную в третьем квартале 2019 года: это был уникальный случай, который сильно смазал бы годовую статистику, не являясь при этом показательным.

Сравнение количества и продолжительности DDoS-атак в 2018 и 2019 гг. За 100% принимаются значения 2019 г. (скачать)

Хотя в четвертом квартале мы и увидели рост числа и продолжительности DDoS-атак относительно предыдущего отчетного периода, мы склонны объяснять это особенностями квартала, а не развитием рынка. Похоже, что рынок DDoS вновь стабилизировался: мы не видим предпосылок ни для падения, ни для дальнейшего роста. Громких арестов и закрытия специализированных ресурсов не было уже довольно давно, да и рынок криптовалют не показывает взрывного роста. Каких-то серьезных уязвимостей, позволяющих организовывать атаки проще или эффективнее, тоже в последнее время не находили. Ориентируясь на тенденции прошлых лет, мы ожидаем в первом квартале 2020 года небольшой спад, но при этом рискнем предположить, что в абсолютных величинах он все равно окажется выше аналогичного периода 2019-го. Прошедший год был интересным годом в мире DDoS-атак. Будем надеяться, что текущий окажется скучным.

Статистика

Методология

«Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы Kaspersky DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля. При этом для начала защиты не требуется дожидаться заражения каких-либо пользовательских устройств или реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2019 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского». Следует также иметь в виду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем разделе данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

• Первое место по количеству атак вновь занял Китай, хотя его доля слегка понизилась (58,46% по сравнению с 62,97% в третьем квартале).
• В первую десятку вошли два «новичка»: Япония (сразу занявшая третье место с 4,86%) и Вьетнам (0,68%), а ЮАР и Нидерланды покинули ее.
• TOP-3 стран по числу мишеней традиционно совпадает с лидерами по числу атак: это Китай (53,07%), США (22,01%) и Япония (6,14%).
• Прошедший квартал отличался низким количеством атак: в самые активные дни их наблюдалось немногим более 250, а в самый тихий — всего 8 атак.
• Активность DDoS-ботнетов распределялась довольно равномерно как в пределах квартала, так и по дням недели, с разницей между самым опасным и самым безопасным днями в 2,5 п. п.
• Три самые долгие атаки продолжались больше 20 суток (494, 492 и 486 часов), что почти вдвое дольше лидера прошлого квартала.
• Среди типов атак по-прежнему лидирует SYN-флуд (84,6%), доля атак через TCP продолжила расти и превысила долю UDP-флуда, а ICMP-флуд показал значительный рост.
• Соотношение Windows- и Linux-ботнетов осталось практически без изменений, последние по-прежнему отвечают за абсолютное большинство (97,4%) атак.
• Абсолютное количество командных серверов сократилось более чем вдвое; в США абсолютное число изменилось чуть меньше, что привело к резкому увеличению их доли в общей картине (58,33% вместо 47,55%); занимавшие второе место Нидерланды в этом квартале упали в самый конец списка.

География атак

В прошедшем квартале Китай продолжил удерживать первенство по числу атак, хотя его доля продолжила уменьшаться (в этот раз падение составило 4,5 п. п. — до 58,46%). Не изменилась и позиция США — страна по-прежнему занимает вторую строчку, на ее территорию пришлось 17,49% всех атак (в прошлом квартале доля была практически той же: 17,37%). А вот третье место такой стабильностью не отличается: занимавший его ранее Гонконг упал на две позиции и стал пятым (3,73% вместо 5,44%), уступив Румынии (четвертая строчка с 4,56% и ростом почти в 3,5 п. п.) и Японии, которая впервые за год вошла в десятку и сразу попала в тройку лидеров (4,86% по сравнению с 0,2% и 18-м местом в прошлом квартале).

Еще один новичок в рейтинге — Вьетнам. В третьем квартале он совсем немного не дотянул до десятки (11-е место), но в конце года доля пришедшихся на него атак выросла на 0,13 п. п. и он преодолел этот барьер. ЮАР вылетела из десятки практически так же стремительно, как до этого взлетела, сменив четвертое место на 15-е; чуть менее резко, но тоже значительно снизилась доля атак на цели в Нидерландах, что сдвинуло эту страну на 14-е место.

В остальном состав первой десятки серьезных изменений не претерпел: страны только поменялись местами. Румыния поднялась с 6-го места на 4-е с 4,56%; Южная Корея — с 8-го на 7-е (0, 94%), Канада — с 10-го на 8-е (0,83%). Великобритания (1,01%) и Сингапур (0,72%), напротив, слегка опустились в рейтинге — с 5-го на 6-е и с 7-го на 9-е место соответственно.

Распределение DDoS-атак по странам, Q3 и Q4 2019 г. (скачать)

Географическое распределение уникальных целей традиционно похоже на распределение самих атак. Первая тройка совпадает полностью. Доля мишеней в Китае тоже упала по сравнению с третьим кварталом и составила 53,07%, в США по-прежнему располагается около пятой части целей (22,01%), а их доля в Японии выросла в 20 раз и составила 6,14%.

Последние места в пятерке также заняли Румыния и Гонконг, но в обратном порядке: четвертая строчка досталась азиатской стране (4,14%), а пятая — европейской (1,95%). Великобритания (1,53%) сохраняет за собой шестую строчку в обеих категориях. За ней следуют Канада (0,93%) и Вьетнам (0,84%). Замыкают десятку Австралия (0,82%), поднявшаяся за квартал с 14-го места, и Сингапур (0,78%). Таким образом, «новички» этого квартала (Япония, Австралия и Вьетнам) вытеснили из лидеров по числу уникальных целей ЮАР, Нидерланды и Францию, которые в этом квартале занимают 14, 12 и 11-е места соответственно.

Распределение уникальных мишеней DDoS-атак по странам, Q3 и Q4 2019 г. (скачать)

Динамика числа DDoS-атак

Четвертый квартал прошел еще спокойнее, чем третий: даже в самые бурные дни (24 ноября и 11 декабря) число атак едва перевалило за 250 (напомним, в прошлом — тоже относительно спокойном — квартале ушедшего года максимум составил 457 атак за день, то есть почти вдвое больше). Общее число дней, когда атак было больше 200, тоже оказалось невелико — кроме уже названных относительно беспокойными оказались 25 ноября, а также 6 и 7 октября. При этом самый «тихий» день побил рекорд последний трех лет — 13 октября зарегистрировано всего 8 атак (раньше самым спокойным днем признавали 25 мая 2018 года с 13 атаками).

Любопытно, что в этом году не зафиксировано характерных для четвертого квартала пиков в черную пятницу и рождественский сезон: оба периода прошли довольно спокойно, а атаки в целом по кварталу распределены довольно равномерно.

Динамика числа DDoS-атак в Q4 2019 г. (скачать)

Распределение атак по дням недели тоже стало гораздо равномернее: разница между самым опасным и самым спокойным днем недели составила всего около 2,5 п. п. (в предыдущий отчетный период она приближалась к 7 п. п.). Особую активность организаторы атак в четвертом квартале проявляли по вторникам (15,46%), а отдыхать предпочитали по четвергам (12,98%). Самые значительные отличия по сравнению с предыдущим кварталом претерпели бывшие «лидер» и «антилидер», понедельник и воскресенье: доля атак в первый день недели упала на 3,5 п. п., а в последний — выросла почти на 2,5 п. п.

Распределение DDoS-атак по дням недели, Q3 и Q4 2019 г. (скачать)

Длительность и типы DDoS-атак

В то время как число атак снизилось, их длительность по сравнению с прошлым кварталом значительно выросла. Так, три самые долгие атаки за три месяца не прекращалась больше 20 суток (494, 492 и 486 часов), в то время как в прошлом квартале ни одна не продолжалась и 12 дней. Тем не менее рекордсменом по длительности осталась атака, проведенная во втором квартале 2019 года (506 часов, то есть больше 21 дня).

Впрочем, средняя продолжительность атак осталась примерно той же, а доля самых долгих атак (от 140 часов) снизилась на треть и составила всего 0,08%. С другой стороны, самых коротких атак (до 4 часов) тоже стало меньше в относительном представлении — снизившись на 2,5 п. п., их доля составила 81,86%.

Зато атак от 100 до 139 часов стало немного больше — 0,14%, равно как и атак длительностью 10–19 и 5–9 часов (5,33% и 10,19% соответственно). Две средние группы незначительно уменьшились: доля атак по 20–49 часов сократилась до 2,05%, а по 50–99 часов — до 0,36%.

Распределение DDoS-атак по длительности в часах, Q3 и Q4 2019 г. (скачать)

Доля SYN-флуд в этом квартале составила 84,6%, а UDP-атаки уступили второе место TCP — впрочем, с едва заметным отрывом: первые составили 5,8% всех атак, а вторые — 5,9%. Таким образом, популярность TCP-атак продолжает расти (напомним, в прошлом квартале они обошли HTTP-флуд). Распределение последних мест не поменялось, хотя доли обоих типов в общем числе атак чуть выросли: HTTP-атаки набрали 0,5 п. п. (2,2%), а ICMP-флуд — 1,1 п. п. (1,6%).

Распределение DDoS-атак по типам, Q4 2019 г. (скачать)

Linux-ботнеты не удержали тенденцию к росту: в этом квартале их доля слегка понизилась и составила 97,4% (вместо 97,75% в прошлом). Соответственно, доля Windows-ботнетов выросла на те же 0,35 п. п. и составила 2,6%.

Соотношение атак Windows- и Linux-ботнетов, Q3 и Q4 2019 г. (скачать)

Географическое распределение ботнетов

В четвертом квартале ушедшего года абсолютное большинство ботнетов (58,33%) оказалось зарегистрировано на территории США (в прошлом квартале их доля была ниже, 47,55%). При этом абсолютное количество командных серверов в стране упало почти вдвое.

На второе место, «перескочив» через строчку, поднялась Великобритания (14,29%), а Китай сохранил третью позицию (9,52%, что примерно на 3 п. п. выше, чем в прошлом квартале). Четвертое и пятое места в этом квартале достались России (3,57%) и поднявшемуся с 11-го места Ирану (2,38%). Доля остальных стран в распределении ботнетов не дотягивает до 2%.

Самое значительно падение в числе командных серверов наблюдается в Нидерландах: с 45 их количество снизилось до всего 1. В Германии и Вьетнаме, которые в прошлом квартале вошли в первую десятку, в этом квартале активных ботнетов не зарегистрировано.

Распределение командных серверов ботнетов по странам, Q4 2019 г. (скачать)

Заключение

В четвертом квартале 2019 года заметны как стабильность в одних аспектах, так и резкие изменения в других. Так, в географическом распределении «новичок», Япония, ворвался сразу в первую тройку, а два из трех «новичков» прошлого квартала, вопреки обыкновению, закрепились в десятке. С другой стороны, географическое распределение уникальных целей традиционно идет практически в ногу с распределением общего числа атак.

Еще одно заметное отличие между третьим и четвертым кварталами — в числе и хронологии атак. Так, распределение по месяцам в конце года гораздо равномернее, как и по дням недели. К удивлению экспертов не случилось и традиционных пиков в черную пятницу и рождественско-новогодний сезон. Продолжительность самой долгой атаки выросла практически вдвое и опасно приблизилась к максимуму, зафиксированному во втором квартале.

Показательно, что в последнем квартале года и атак, и командных серверов стало значительно меньше, при этом количество сверхдлинных атак (свыше 400 часов) превышает показатели, которые мы успели зарегистрировать за всю историю наблюдений. Возможно, намечается тенденция к повышению числа сложных и тщательно организованных атак, пусть и в ущерб общему количеству атак.