«Лаборатория Касперского» опубликовала любопытное исследование. Если верить данным антивирусной компании, наша страна стала главным источником распределённых атак типа «отказ в обслуживании» во второй половине 2011 года. Такого рода действия обычно производятся с помощью ботнетов (сети заражённых вредоносным ПО компьютеров) и состоят в перегрузке атакуемого ресурса чрезмерно большим количеством запросов.
На долю российских хакеров пришлось 16 процентов всего мирового DDoS-трафика. На втором месте оказалась Украина с 12 процентами, а на третьем — Таиланд, доля которого составила 7 процентов. «На территории России и Украины нами было замечено появление новых ботнетов, созданных на основе программ, продаваемых на underground-форумах. Что интересно, эти ботнеты стали атаковать цели, расположенные на территории тех же стран, где они сами расположены. До этого мы фиксировали в основном атаки с ботнетов, заражённые машины которых находились в иных государствах, чем атакуемые серверы», — говорится в пресс-релизе компании.
Подобную ситуацию специалисты объясняют фильтрацией трафика на основе стран-источников. Принцип её работы очень прост: при обнаружении DDoS-атаки включается система, которая начинает отбрасывать все пакеты, кроме тех, которые идут из определённой страны. Чтобы обойти такую защиту, злоумышленникам приходится разворачивать ботнеты в той же стране, в которой находится атакуемый ресурс.
В «Лаборатории Касперского» также отмечают наличие работающих по «классической» схеме (когда атака ведётся с зарубежных ресурсов) ботнетов: «Таиланд и Малайзия являются яркими представителями стран, в которых расположено множество незащищённых компьютеров, но при этом заказов атак на сайты, расположенные в этих же странах, у ботмастеров, по всей видимости, не так уж и много. Поэтому для киберпреступников этот регион является хорошим плацдармом для развёртывания ботсетей».
Если говорить о распределении атакованных ресурсов по категории деятельности, лидирует по-прежнему сегмент интернет-торговли (на её долю приходится 25 процентов зарегистрированных атак). Далее идут электронные торговые площадки (20%), игровые сайты (15%) и банки (15%).
Хакеры особо не мудрствуют: 80 процентов атак — это HTTP Flood (55 процентов — запрос главной страницы или одной страницы). Боты начинают работать в районе девяти-десяти часов утра (по местному времени), когда посетители сайтов приходят на работу и начинают активно пользоваться интернетом для решения своих бизнес-задач. Пик активности приходится на шестнадцать часов. А вот рабочий день у ботов ненормированный и продолжается до глубокой ночи. Только в четыре утра большая часть ботнетов уходит на покой.
Сотрудники «Лаборатории Касперского» отмечают и связь между атаками и политической активностью граждан (выражение протеста против решений правительственных органов и т.д.).
«Количество машин в DDoS-ботнетах постепенно растёт, что отражается и на средней мощности атаки, которая за полгода выросла на 57 процентов. Однако у наращивания мощности есть обратная сторона: такие ботнеты становятся объектами исследований анти-DDoS проектов и правоохранительных органов, что может резко снизить привлекательность ботнетов в глазах злоумышленников. Поэтому в 2012 году мы практически не увидим сверхбольших DDoS-ботнетов. На наши радары в основном будут попадать ботнеты среднего размера, мощности которых достаточно, чтобы «положить» среднестатистический сайт, и количество таких ботсетей будет расти. В дальнейшем с увеличением числа компаний, озаботившихся защитой от DDoS-атак, хакерам придётся постепенно наращивать мощности атак за счёт одновременного использования нескольких ботсетей, нацеленных на один ресурс».
Технологии незаконного бизнеса будут совершенствоваться. Если верить прогнозу «Лаборатории Касперского», в дальнейшем архитектура ботнетов усложнится и технологии P2P будут вытеснять централизованные. Кроме этого, в 2012 году злоумышленники будут искать новые механизмы осуществления атак без использования зомби-сетей.