Защищен ли ваш онлайн-бизнес от DDoS-атак?
Предприятия стали чрезвычайно зависимы от своего присутствия в Интернете как основной части ведения бизнеса. По мере того, как клиенты переходят на веб-коммуникации, компании должны предоставлять рекламу, варианты покупки и обслуживание клиентов на своем сайте, чтобы удовлетворить целевой рынок. Хотя такая зависимость от Интернета в плане коммуникаций может помочь организациям масштабироваться, поскольку Интернет — это глобальная сеть и одна веб-страница может одновременно обслуживать множество клиентов, она также делает организацию уязвимой. Атака на веб-представительство организации может оказать значительное влияние на продажи и способность компании взаимодействовать со своими клиентами.
В результате идея распределенной атаки типа "отказ в обслуживании" (DDoS) не является чем-то новым. Дешевые облачные вычисления и плохо защищенные устройства Интернета вещей (IoT) означают, что злоумышленники могут легко создавать ботнеты компьютеров под своим контролем. Такие скопления вредоносных машин могут легко перегрузить веб-серверы организации, поэтому защита от DDoS-атак является основной частью стратегии кибербезопасности любой компании.
Однако иногда злоумышленники применяют новый подход к DDoS-атаке. Недавно злоумышленник решил выдать себя за Fancy Bear, известную перспективную постоянную угрозу (APT). Сочетая узнаваемость имени Fancy Bear с некоторыми изменениями традиционной цели DDoS-атаки, киберпреступники надеялись убедить жертв заплатить выкуп, чтобы остановить атаку.
Fancy Bear
Передовые постоянные угрозы — это хакерские группы, которые обладают достаточными навыками, ресурсами и рабочей силой, чтобы представлять долгосрочную киберугрозу. В то время как многие киберпреступники могут использовать тактику "разгрома и захвата", быстро захватывая все, что можно, после проникновения в сеть организации, APT может находиться в сети в течение месяцев или лет, прежде чем предпринять какие-либо действия.
Для такого рода долгосрочной перспективы требуются ресурсы. Многие APT финансируются правительствами разных стран или, по крайней мере, связаны с ними. Другие группы могут финансироваться организованной преступностью или другими группами с большими деньгами. Когда APT идентифицирована, исследователи кибербезопасности обычно дают ей имя. Эти имена часто основаны на предполагаемой стране происхождения. В случае с Fancy Bear, APT, связанной с Россией, группа названа в честь русского медведя. Другие группы из той же страны также имеют "Bear" имена (Venomous Bear, Voodoo Bear и Cozy Bear).
Fancy Bear APT известна своим вмешательством в политику и выборы. Взлом Демократической национальной конвенции (DNC) в 2016 году и большая часть фальшивых новостей в социальных сетях во время промежуточных выборов в США в 2018 году приписываются Fancy Bear. Совсем недавно Fancy Bear пыталась повлиять на президентские выборы во Франции и Германии в 2017 году и выборы в ЕС в мае 2019 года. Fancy Bear APT — известная и хорошо зарекомендовавшая себя хакерская группа. Репутация компании как мощного субъекта киберугроз, вероятно, является причиной того, что киберпреступники решили выдать себя за нее в недавних атаках.
Киберпреступники выдают себя за Fancy Bear
Концепция выдачи себя за другую группу не является новой в хакерских кругах. Многие APT и хакерские группы имеют четко определенные инструменты, тактику и процедуры. Одна группа может выдавать себя за другую, чтобы сделать свою атаку более скрытой или, как в данном случае, чтобы воспользоваться репутацией влиятельной группы. Независимо от причины, эти имперсонации, если они выполнены правильно, могут сделать атрибуцию кибератаки чрезвычайно сложной.
В случае этого инцидента группа киберпреступников выдавала себя за Fancy Bear, чтобы запустить распределенную атаку типа "отказ в обслуживании" (DDoS). DDoS-атака включает в себя большое количество атакующих машин, которые пытаются перегрузить возможности жертвы по приему и обработке трафика. Хотя ботнеты для проведения таких атак можно арендовать, киберпреступная группа, по всей видимости, располагала собственным ботнетом, который, вероятно, состоял из взломанных устройств Интернета вещей (IoT).
Хотя целью стандартной DDoS-атаки является просто отказ в доступе к системам жертвы, она также может использоваться злоумышленниками для получения прибыли. В данном случае киберпреступники потребовали от цели 2 биткоина (стоимостью около 800), чтобы прекратить атаку. Во многих случаях DDoS-атака с выкупом будет неэффективной, поскольку она будет заблокирована средствами защиты от DDoS на веб-страницах организации. Однако атака была направлена на внутренние серверы, которые с меньшей вероятностью имеют защиту от DDoS. В результате DDoS-атака была более успешной.
Однако злоумышленникам не удалось выдать себя за Fancy Bear APT. Как и многие APT, Fancy Bear имеет четко определенную тактику и цели, которые в первую очередь направлены на вмешательство в выборы. DDoS-атаки с выкупом — не их конек, поэтому для следователей очевидно, что это была попытка другой группы воспользоваться репутацией Fancy Bear.
Защита от DDoS-атак
Распределенные атаки типа "отказ в обслуживании" оказывают значительное влияние на способность организации вести бизнес. Злоумышленник может сделать невозможным доступ клиентов к веб-сайту и другим ресурсам, выходящим в Интернет, что может оказать значительное влияние на продажи и существующую клиентскую базу. Именно потенциальное отсутствие дохода делает возможными DDoS-атаки с выкупом.
Для защиты от этого типа атак требуется комплексная защита от DDoS. Хотя многие организации могут иметь DDoS-защиту для своих веб-сайтов, она бесполезна против этой атаки, поскольку она направлена на внутренние системы, минуя защиту, ориентированную на веб-сайт. При разработке защиты от DDoS (и других) атак организациям необходимо убедиться, что их защита не может быть легко обойдена злоумышленником. В противном случае, как показано в этой атаке, умный киберпреступник может сделать их бесполезными.