21.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

DDoS-атаки в IV квартале 2020 года

Обзор новостей

Злоумышленники постоянно ищут способы и инструменты, позволяющие сделать атаки более разрушительными. В четвертом квартале 2020 года таким инструментом стали контроллеры доставки приложений Citrix ADC. Киберпреступники злоупотребляли DTLS-интерфейсом устройств. Протокол DTLS (Datagram Transport Layer Security) используется для установления защищенных соединений по протоколу UDP, через который передается, в частности, большая часть DNS-запросов, а также аудио- и видеотрафика. Для усиления атаки злоумышленники отправляли запросы на устройства с включенным DTLS-интерфейсом, подделывая IP-адреса жертв. В результате те получали ответные пакеты в несколько раз большего размера. В случае с устройствами Citrix объем мусорного трафика мог увеличиться в 36 раз. После того как об атаках стало известно, производитель оперативно выпустил обновление прошивки, позволяющее настроить проверку входящих запросов. Тем же, кто не использует DTLS, в целях борьбы со злоупотреблением рекомендуется просто отключить этот протокол.

Еще одна примечательная атака в декабре затронула сайт bitcoin.org, на котором хранится Bitcoin Core — одна из наиболее широко используемых программных версий биткойна. На некоторое время ресурс оказался недоступен, однако криптолюбители-новички могли загружать копию Bitcion Core с торрентов. Скорее всего, атака связана с курсом биткойна, который планомерно рос весь прошедший квартал. По словам одного из специалистов, поддерживающих bitcoin.org, ресурс постоянно пытаются вывести из строя, когда биткойн на подъеме.

В целом события четвертого квартала держались в рамках трендов 2020 года. Злоумышленники использовали имена известных APT-групп для запугивания жертв, требовали выкуп в криптовалюте и устраивали демонстрационные атаки, подкрепляющие их угрозы. Активность вымогателей регулярно попадала в новости в течение всего 2020 года. В октябре очередной жертвой стала норвежская телекоммуникационная компания Telenor Norway.

С момента перехода школ и вузов на дистанционный формат обучения злоумышленники пытались сорвать занятия, завалив мусорным трафиком образовательные платформы. Этот тренд также продолжился в последние месяцы 2020 года. В октябре перебои со связью испытывали школы в городках Сэндвич и Тингсборо штата Массачусетс. В обоих случаях образовательные учреждения изначально рассматривали версию технического сбоя и только позже выявили атаку. В декабре о DDoS сообщил канадский Лаврентийский университет. Вуз справился с проблемой за несколько минут. Так или иначе, подобные атаки к концу года стали достаточно серьезной напастью, чтобы ФБР отметило их в декабрьском предупреждении как одну из основных угроз для образовательных учреждений. Учебным заведениям рекомендуется использовать решения для защиты от DDoS и строгие настройки брандмауэра, а также сотрудничать с интернет-провайдерами.

Не обошлось и без атак на игровые платформы. Так, по данным издания ZDNet, в числе мишеней атаки с усилением через устройства Citrix были Xbox и Steam. В начале октября о DDoS сообщила команда PUBG Mobile.

А европейские серверы Blizzard пострадали от действий злоумышленников дважды за квартал.

В конце декабря несколько десятков известных стримеров планировали отметить окончание 2020 года прохождением Rust на одном сервере. С первой попытки шоу не удалось. Предположительно игру сорвала DDoS-атака, хотя достоверных данных на этот счет нет. Учитывая ажиотаж вокруг события, причиной сбоя мог стать и наплыв зрителей. В 2020 году, когда большая часть жизни переместилась в Сеть, интернет-ресурсы неоднократно страдали из-за резкого всплеска легитимной активности.

Что касается ответных мер, то самым заметным событием четвертого квартала стал приговор бывшему участнику Apophis Squad, который устраивал DDoS-атаки, в том числе с целью вымогательства, а также срывал занятия в школах разных стран, рассылая сообщения о заложенной в здании бомбе, и хранил детскую порнографию. За все «заслуги» злоумышленника присудили к 8 годам лишения свободы.

Продолжается и борьба с отдельными векторами атаки. Инженерный совет интернета (IETF) опубликовал предложение стандарта NTS (Network Time Security, «безопасность сетевого времени») — безопасной передачи данных по протоколу NTP (Network Time Protocol, «протокол сетевого времени»), который применяется для синхронизации времени по сети. Документ затрагивает, в частности, проблему усиления DDoS-атак через этот протокол и запрещает в ответ на запрос возвращать пакеты данных, превышающие размером пакет с запросом.

Тенденции квартала и года

В этот раз наш прогноз оправдался ровно наполовину: как мы и предполагали, в четвертом квартале 2020 года мы наблюдали показатели, сравнимые с показателями за аналогичный период 2019-го и даже незначительно превышающие их. Однако роста относительно третьего квартала 2020-го, который мы предсказывали в качестве возможной альтернативы, не произошло. Наоборот, общее количество атак снизилось приблизительно на 30%, а число умных атак — на 10%.

Сравнительное количество DDoS-атак, Q3 и Q4 2020 г., а также Q4 2019 г. За 100% приняты данные за Q4 2019 г. (скачать)

Тем не менее, интересно отметить качественные показатели: доля умных атак в четвертом квартале немного выросла, а данные о продолжительности показывают тенденцию к снижению продолжительности коротких атак и увеличению продолжительности длинных.

Доля умных атак, Q3 г. и Q4 2020 г., а также Q4 2019 г. (скачать)

Продолжительность DDoS-атак, Q3 и Q4 2020 г., а также Q4 2019 г. За 100% приняты данные за Q4 2019 г. (скачать)

Снижение числа DDoS-атак можно объяснить ростом криптовалютного рынка. Мы уже не раз писали — в том числе и в предыдущем отчете — об обратной зависимости между DDoS-активностью и ценой криптовалют. Когда мы делали прогнозы на четвертый квартал, едва ли кто-то ожидал настолько бурного роста: такого фактически не случалось еще никогда. Неудивительно, что операторы ботнетов перенаправили часть мощностей на майнинг.

Интересно отметить, что явное падение количества DDoS-атак относительно предыдущего квартала произошло за счет легких в организации атак, умные атаки просели незначительно. И это довольно логично: операторам ботнетов невыгодно продавать мощности по дешевке, упуская прибыль от майнинга, а при росте цен первыми отсекаются дилетанты — школьники, мелкие хулиганы и просто горячие головы, у которых нет серьезных причин для организации DDoS. Интересы профессионалов, в свою очередь, не теряют актуальности, несмотря на колебания рынка, особенно в богатый на праздники и онлайн-продажи четвертый квартал, поэтому они продолжают заказывать и организовывать атаки, причем в основном умные, поскольку рассчитывают на результат, а не на попытку.

Что мы увидим в первом квартале 2021 года, сказать сложно. Однако мы все больше укрепляемся во мнении, что рынок DDoS перестал расти и полностью стабилизировался после падения 2018-го. Текущие колебания связаны в основном с динамикой цен на криптовалюты и зависеть будут напрямую от них. Если в первом квартале криптовалюты начнут дешеветь, число DDoS-атак вырастет, и наоборот. При этом никакого взрывного роста или драматического падения мы не ожидаем. Если не случится ничего непредсказуемого (хотя последний год оно чаще случалось, чем нет), колебания на рынке DDoS останутся в пределах 30%.

Сравнительное количество DDoS-атак, 2019 и 2020 гг. За 100% приняты данные за 2019 г. (скачать)

Что касается итогов 2020-го в целом, то за год рынок вырос чуть менее, чем вдвое. Стоит отметить, что этот рост исключительно количественный: доля умных атак практически не изменилась.

Доля умных атак, 2019 и 2020 гг. (скачать)

Отдельный интерес представляют данные по продолжительности атак. В 2020 году средняя продолжительность сократилась примерно на треть, при этом максимальная ощутимо выросла в целом, хотя и осталась практически на прошлогоднем уровне в случае умных атак. Это говорит о том, что короткие атаки становятся короче, а длинные — длиннее; подобную тенденцию мы наблюдали и в четвертом квартале. Сложно сказать, с чем именно она связана, но можно предположить, что с тем же, что и все остальные тенденции года: серьезной нестабильностью обстановки, пандемией и взрывным ростом рынка криптовалют. Рынок DDoS меняется под воздействием этих факторов, меняются цели атак и их заказчики, а вместе с ними — и средняя продолжительность атак.

Продолжительность DDoS-атак, 2019 и 2020 гг. За 100% приняты данные за 2019 г. (скачать)

Статистика

Методология

«Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы Kaspersky DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля. При этом для начала защиты не требуется дожидаться заражения каких-либо пользовательских устройств или реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за четвертый квартал 2020 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Так, например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского». Следует также иметь в виду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем разделе данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Отметим, что в четвертом квартале 2020 года увеличилось число ботнетов, активность которых попадает в статистику DDoS Intelligence. Это может отразиться на представленных в настоящем отчете данных.

Итоги квартала

  • По количеству DDoS-атак в четвертом квартале, как и ранее, лидировали Китай (58,95%), США (20,98%) и Гонконг (3,55%).
  • TOP 3 регионов с наибольшим числом мишеней повторяет список лидеров рейтинга по количеству атак: Китай (44,49%), США (23,57%) и Гонконг (7,20%).
  • В самые «тихие» дни количество DDoS-атак не превышало одной в день.
  • Самым активным днем квартала с точки зрения DDoS стало 31 декабря, когда было зафиксировано 1349 атак.
  • Больше всего DDoS-атак мы наблюдали по четвергам, а самыми спокойными в этом квартале оказались воскресенья.
  • Доли очень коротких атак (71,63%) и очень длинных (0,14%) в четвертом квартале снизились, при этом доли всех промежуточных категорий выросли.
  • В четвертом квартале изменилось распределение DDoS-атак по типам: на второе место вернулся UDP-флуд (15,17%), а четвертым по частотности стал ранее не упоминавшийся в наших отчетах GRE-флуд (0,69%).
  • Linux-ботнеты использовались почти в 100% атак.
  • Основная масса командных серверов ботнетов располагалась в США (36,30%), Нидерландах (19,18%) и Германии (8,22%).

География атак

Тройка стран-лидеров по числу DDoS-атак в четвертом квартале 2020 года осталась та же, что и в прошлый отчетный период. На первой строчке по-прежнему Китай (58,95%), однако его доля снизилась на 12,25 п. п. Второе место удерживают США (20,98%), доля которых, напротив, выросла на 5,68 п. п. Похожую картину — сокращение доли Китая и увеличение доли США по сравнению с третьим кварталом — мы наблюдали и в последние три месяца 2019 года.

Специальный административный район Гонконг (3,55%) потерял 0,92 п. п., но, несмотря на это, остался на третьем месте, которое он не покидает с начала 2020-го. На этом сходство с картиной третьего квартала заканчивается: Сингапур, в прошлый отчетный период находившийся на четвертой строчке, выбыл из десятки. На его место поднялась Великобритания (1,99%), прибавившая 1,72 п. п.

Пятую строчку занимает ЮАР (1,31%), вытеснившая Австралию (0,97%), которая опустилась на седьмое место, несмотря на то что увеличила свою долю на 0,32 п. п. Шестой стала Канада (1,04%), вернувшаяся в рейтинг после отсутствия в третьем квартале.

Нидерланды сместились на одну строчку вниз и заняли восьмое место (0,86%). А Индия и Вьетнам, как и Сингапур, покинули TOP 10. Замыкают рейтинг Германия (0,71%) и Франция (0,64%), в третьем квартале не дотянувшие до десятки.

Распределение DDoS-атак по странам, Q3 и Q4 2020 г. (скачать)

Состав первой десятки стран, в которых расположено наибольшее количество мишеней DDoS, традиционно похож на рейтинг по числу атак. Тройка лидеров та же самая: впереди Китай (44,49%), чья доля снизилась на 28,34 п. п., однако по-прежнему остается вне конкуренции. Вторыми следуют США (23,57%), доля которых выросла на 7,82 п. п. На третьем месте — Гонконг, увеличивший свою долю в рейтинге до 7,20%.

В TOP 10 по числу целей не вошла ЮАР, зато попал Сингапур (2,21%), выпавший из рейтинга по количеству атак. Его доля выросла на 1,74 п. п., однако относительно третьего квартала он сдал позиции и опустился на пятую строчку. Это связано с тем, что все страны десятки, кроме Китая, увеличили свою долю. Так, Нидерланды (4,34%), занявшие четвертое место, прибавили 4,07 п. п.

В остальном рейтинг отличается от рейтинга по числу атак только последовательностью стран. Канада (1,97%) опережает Великобританию (1,77%), а Австралия занимает последнюю строчку (1,29%), уступив Франции (1,73%) и Германии (1,62%).

Распределение уникальных мишеней DDoS-атак по странам, Q3 и Q4 2020 г. (скачать)

Динамика числа DDoS-атак

Четвертый квартал, как и ожидалось, прошел более бурно, чем третий. Начало отчетного периода выдалось спокойным: с 3 по 6 октября мы наблюдали всего по одной атаке в день. Однако уже 20 числа этого месяца было зафиксировано 347 атак, что превышает максимальное значение третьего квартала (323 атаки за один день). В конце октября и ноябре DDoS-активность колебалась между близкими к нулю значениями и двумя сотнями атак в день.

В последних числах ноября начался значительный рост, который продолжился до конца квартала, что, вероятно, объясняется увеличением числа ботнетов, отслеживаемых «Лабораторией Касперского», а также рождественскими и новогодними праздниками, подготовка к которым обычно сопровождается всплеском активности злоумышленников. Свою роль, скорее всего, сыграл и тот факт, что в 2020 году объем покупок онлайн — праздничных и не только — в целом вырос. Самым жарким днем с точки зрения DDoS в этом квартале стало 31 декабря. В этот день было зафиксировано 1349 атак по всему миру.

Динамика числа DDoS-атак, Q4 2020 г. (скачать)

В четвертом квартале самым активным днем недели остался четверг (17,67%), хотя его доля снизилась на 1,35 п. п. по сравнению с предыдущим кварталом. А вот самый спокойный день снова изменился — в этот раз злоумышленники предпочитали отдыхать по воскресеньям (11,19%). При этом разброс в количестве атак в «тихий» и «бурный» дни сократился до 6,48 п. п. В прошлом квартале разница составляла почти 9 п. п. Число атак, приходящихся на вторники, среды и пятницы, в последний триместр года выросло, а в остальные дни — наоборот, уменьшилось.

Распределение DDoS-атак по дням недели, Q3 и Q4 2020 г. (скачать)

Длительность и типы DDoS-атак

Средняя продолжительность DDoS-атак в четвертом квартале выросла по сравнению с предыдущим отчетным периодом. Это может быть обусловлено заметным снижением доли очень коротких атак, длившихся не более четырех часов (71,62% против 91,06% в третьем квартале), а также ростом количества более продолжительных атак. В частности, в отчетный период увеличились доли атак длительностью от 5 до 9 (11,78%), от 10 до 19 (8,40%), от 20 до 49 (6,10%), от 50 до 99 (1,86%) и от 100 до 139 часов (0,10%).

Доля сверхдлинных атак, напротив, уменьшилась на 0,09 п. п. и составила 0,14%. При этом она осталась выше доли атак, продолжавшихся от 100 до 139 часов, а длительность самой долгой атаки превысила 12 суток (302 часа), что заметно больше, чем максимум третьего квартала (246 часов).

Распределение DDoS-атак по длительности (в часах), Q3 и Q4 2020 г. (скачать)

Распределение DDoS-атак по типам сильно изменилось в четвертом квартале. Лидирует по-прежнему SYN-флуд, однако его доля уменьшилась на 16,31 п. п. и составила 78,28%. При этом значительно выросла доля UDP-флуда (15,17%), которая в первые три квартала не превышала 2%. Увеличилось и число TCP-атак (5,47%), а вот ICMP-флуда, до этого занимавшего второе место после SYN-атак, в четвертом квартале оказалось пренебрежимо мало, поэтому мы не включили его в статистику.

Зато в последние месяцы 2020 года засветился тип атак, ранее не упоминавшийся в наших отчетах — GRE-флуд (0,69%). GRE (Generic Routing Encapsulation, «универсальная инкапсуляция при маршрутизации») — это протокол туннелирования трафика, применяющийся, в частности, для создания виртуальных частных сетей (VPN). GRE-флуд использовал, например, ботнет Mirai для атаки на блог журналиста Брайана Кребса (Brian Krebs) в 2016 году.

Распределение DDoS-атак по типам, Q4 2020 г. (скачать)

Доля Windows-ботнетов в четвертом квартале впервые за историю наших наблюдений упала почти до нуля (0,20%). Практически все зафиксированные DDoS-атаки осуществлялись при помощи ботов на базе Linux.

Соотношение атак Windows- и Linux-ботнетов, Q3 и Q4 2020 г. (скачать)

Географическое распределение ботнетов

Большая часть командных серверов, управлявших DDoS-ботнетами в четвертом квартале 2020 года, располагалась в США. На эту страну пришлось 36,30% от общего числа серверов. На втором месте оказались Нидерланды, чья доля составила 19,18%. Замыкает тройку лидеров Германия с 8,22%.

Четвертое место по числу командных серверов заняла Румыния (4,79%), а пятое и шестое поделили между собой Франция и Великобритания: доля обеих стран составила 4,11%. Седьмая, восьмая и девятая строчки в этом квартале тоже отличились одинаковым количеством командных серверов: по 3,42% приходится на долю Венгрии, Канады и Вьетнама. Последним в десятке стран, на территории которых зарегистрированы управляющие ресурсы ботнетов, стал Китай (2,05%).

Распределение командных серверов ботнетов по странам, Q4 2020 г. (скачать)

Заключение

Четвертый квартал показал себя обычным и необычным одновременно. С одной стороны, не произошло никаких неожиданных рокировок в географическом распределении DDoS-атак и их мишеней, с другой — заметно изменилось распределение по типам атак: выросла доля UDP-флуда, на смену ICMP-атакам пришел GRE-флуд. Кроме того, впервые за все время наших наблюдений Linux-ботнеты захватили рынок DDoS практически полностью.

Крайне интересно было бы увидеть данные из альтернативного 2020-го, в котором не было бы пандемии и драматического роста криптовалют, а рынок DDoS развивался бы без потрясений. Эпидемия коронавируса рынок подтолкнула (мы писали об этом в первом и втором кварталах), а рост криптовалюты — замедлил (об этом мы писали в третьем квартале). Возможно, без этих событий картина в итоге вышла бы похожая, однако под их влиянием рынок DDoS в 2020-м серьезно штормило, поэтому половина наших прогнозов не сбылась.

Сложно сказать, чего стоит ждать от 2021 года — мы не можем предсказать, как будет развиваться ситуация с пандемией и курсом криптовалют. Поэтому наш прогноз будет очень осторожным: если обойдется без резких потрясений, то и рынок DDoS сильно не изменится. Предпосылок для значительного роста или падения как в первом квартале, так и в течение всего 2021 года мы не видим. Остается только стабильность, ее мы и ожидаем.