Завершив очередную серию DDoS-атак на американские банки, исламистская группировка, именующая себя «кибервоины Изз ад-Дин аль-Кассама» (Izz ad-Din al-Qassam Cyber Fighters), объявила о перемирии.
Хактивисты дали понять, что удовлетворены результатами протестной акции: видеоролик «Невинность мусульман» ― официальное яблоко раздора ― был удален с YouTube (правда, лишь оригинал). Вполне возможно, что «отбой» состоялся по какой-то иной причине: по словам экспертов-наблюдателей DDoS и участников обороны, основные потоки вредоносного трафика в рамках «операции Абабиль» исходили не с хактивистских компьютеров, как это обычно происходит, а с тысяч зараженных веб серверов, на большинстве которых установлена CMS Joomla. Большая мощность этих DDoS-атак, на пике составлявшая 70-100 Гб/с, их высокий технический уровень и тщательный отбор основных мишеней ― хорошо защищенных и имеющих опыт самозащиты ― породило предположение, что громкая краудсорсинг-акция исламистов ― лишь дымовая завеса, прикрытие для более серьезной демонстрации силы.
Как бы то ни было, эффектные DDoS-атаки на крупнейшие американские банки, проведенные в сентябре, декабре и начале января, обнажили слабые места в обороне и вновь напомнили о нерешенных проблемах в области интернет-безопасности ― таких, например, как наличие в Сети открытых резолверов и уязвимых CMS. Как мы уже писали, для борьбы с направленными и комплексными DDoS-угрозами эксперты рекомендуют пополнить арсенал на местах специализированными средствами, способными собирать данные о кибератаках в реальном времени. Защитные анти-DDoS сервисы пока справляются со своими функциями, хотя некоторые уже отметили, что для отражения атак, подобных минувшим, нужна более совершенная технология, чем практикуемая ныне фильтрация по IP и объему трафика. Чтобы вовремя обнаружить такую DDoS-атаку и адекватно выстроить линию обороны, нужен непрерывный мониторинг сети на разных уровнях, включая прикладной, который следует осуществлять по месту, иначе он может оказаться помехой рабочим процессам.
А пока, сетуют специалисты по защите от DDoS, бороться с атаками такой сложности и продолжительности (которая для отдельной атаки в среднем составила 20 дней) приходится в отсутствие оперативных данных. Несмотря на все призывы и старания наладить информационный обмен о киберинцидентах, солидные бизнес-структуры и их интернет-провайдеры не торопятся делиться подробными «фронтовыми сводками» с аутсайдерами, тем паче с широкой публикой. Одни опасаются за свою репутацию и не хотят гневить нападающих, другие связаны договорными обязательствами или просто боятся потерять хорошего клиента.
При таком дефиците информации особую ценность представляют результаты мониторинга DDoS-инцидентов в реальном времени, подобные тем, что представил в своем блоге CDN провайдер Incapsula. Этот краткий отчет наглядно демонстрирует, как уязвимость маленького сайта может обернуться атакой с плечом на ряд заокеанских сервисов. В начале января эксперты Incapsula обнаружили подозрительную активность на недавно примкнувшем к его веб-сервису британском сайте. На этот безобидный и небольшой ресурс шло необычно большое количество запросов с шифрованным php-кодом ― явная попытка активировать бэкдор и использовать сайт в качестве бота. Как оказалось, это были команды на проведение HTTP и UDP flood против нескольких американских банков, и исходили они с турецкого C&C сервера. Вредоносные запросы были заблокированы, и дальнейший мониторинг показал, что атакующие пытались применить динамические инъекции php-кода и использовать мощности сервера-посредника, чтобы увеличить DDoS трафик путем повторения атаки с заданной периодичностью. Спустя некоторое время эксперты зафиксировали смену мишеней ― ими оказались некие коммерческие сервисы; по всей видимости, Incapsula наблюдала работу ботнета, сдаваемого в аренду.
У экспертов не было сомнений, что новичок присоединился к сети доставки контента уже с бэкдором. Как впоследствии оказалось, способ взлома сайта был вполне тривиальным: его администратор установил свой пароль как… угадали, admin / admin. Как справедливо отметила Incapsula, именно такие слабые звенья подрывают безопасность интернета, к которой мы все, его участники, должны стремиться и за которую мы несем совместную ответственность.
«Операция Абабиль»: итоги