«Яндекс» подвергся крупнейшей в истории мирового интернета DDOS-атаке. И это только начало

Новости компаний
08:39
25 874 просмотра

В прошлые выходные «Яндекс» подвергся масштабной DDoS-атаке – как заявила сама компания, самой крупной в истории всего интернета.

За атакой стоит новый загадочный ботнет, чьи авторы, скорее всего, найдены не будут. Это очень плохая новость для будущих жертв: опрошенные The Bell эксперты считают, что атака на «Яндекс» была лишь демонстрацией силы, призванной прорекламировать ботнет для будущих коммерческих клиентов. А компании, у которых нет таких ресурсов и возможностей в области кибербезопасности, как у «Яндекса», справиться с атакой новой сети не смогут.

Что случилось

В прошлые выходные «Яндекс» пережил мощную DDoS-атаку на свои сервисы. Впервые об этом написали в среду «Ведомости» со ссылкой на источники внутри компании. Тогда официальный представитель компании сообщил, что кибератака не повлияла на работу сервисов, но источник издания говорил, что IT-гигант с трудом сдержал атаку. Сегодня сам «Яндекс» вместе с компанией Qrator Labs выпустил пространное объяснение по поводу случившегося.

По итогам расследования, результаты которого опубликованы в блоге компании на Habr, «Яндекс» сделал громкое заявление: речь о крупнейшей DDoS-атаке за всю историю глобального интернета.

«Но это лишь одна из множества атак, направленных не только на «Яндекс», но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник – новый ботнет, о котором пока мало что известно», – говорится в заявлении.

Если быть точным, атака была рекордной только по одному параметру – числу запросов, которые атакующая сторона отправляла в секунду (DDoS-атаки также измеряют, например, в длительности, а еще, в зависимости от типа атаки, – в битах в секунду или пакетах в секунду). Этот показатель в ходе атаки на «Яндекс» превысил 21 млн, и это – самая большая цифра за историю интернета. По крайней мере из тех, о которых стало известно публично, говорит независимый IT-эксперт Григорий Бакунов (раньше был топ-менеджером «Яндекса»).

Предыдущий рекорд, скорее всего, принадлежал тем же самым злоумышленникам. О нем 19 августа в своем блоге написала компания Cloudflare, специализирующаяся на защите от DDOS-атак. Тогда она зафиксировала атаку с 28 тысяч устройств мощностью 17,2 млн запросов в секунду. Еще год назад число запросов в секунду у крупнейших DDoS-атак не превышали миллиона, говорит директор по безопасности «Яндекса» Антон Карпов.

При этом, если речь об ущербе, назвать атаку крупнейшей в истории нельзя – явно от нее никто не пострадал, отметил в разговоре с The Bell эксперт по кибербезопасности Алексей Лукацкий.

Кто стоит за атакой

Кто стоит за атакой – неизвестно, но «Яндекс» далеко не единственная возможная цель нового ботнета, утверждают авторы расследования.

«В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой Зеландии, США и России», – пишет компания.

За всеми стоит одна и та же сеть, которой в «Яндексе» дали название – Mеris (с латышского это переводится как «чума»). Латышское название объясняется спецификой ботнета – в отличие от существовавших раньше сетей, он объединил в себе только роутеры небольшой латвийской компании Mikrotik, которая делает недорогое, но достаточно мощное сетевое оборудование, продающееся во многих странах.

«Кто-то – мы не знаем кто – нашел уязвимость – какую, мы тоже пока не знаем – в роутере и, скорее всего, продал ее людям, занимающимся DDoS-атаками», – объяснил The Bell Карпов из «Яндекса».

 Такие уязвимости продаются и покупаются на черном рынке, реальные расценки – около $5 млн за штуку, говорит он.

Поведение организаторов атак Карпов называет загадочным: обычно ботнеты годами живут в тени, набирают силу, а потом точечно атакуют компании под заказ. А Mеris за последние пару месяцев совершил атаки в самых разных частях мира и без очевидной цели.

«Яндекс» – не банк, и финансовой выгоды атаковать нас нет, плюс мы – большая компания, и атаковать нас технически сложно. А во время атаки нападающий сразу раскрывает свой ботнет, и после этого с ним начинают бороться», – перечисляет Карпов странности.

Бакунов считает, что атака на «Яндекс» – скорее всего, демонстрация силы.

«Яндекс» под этим натиском выжил, но он очень большой и хорошо защищен. Практически любой другой из российских игроков, скорее всего, закончит плохо и выйдет из строя», – предупреждает он.

Владелец сети после такой демонстрации может приходить к потенциальным клиентам и предлагать за деньги атаковать конкурентов – это просто реклама возможностей, считает Бакунов.

Что мне с этого?

После атаки на «Яндекс» на проблему обратили широкое внимание. Теперь Mikrotik, которая пока еще не признала новую уязвимость (компания заявила, что во взломе задействована уязвимость 2018 года, которую уже устранили, но не все пользователи поставили обновления. – The Bell), скорее всего, выпустит обновление, которое замедлит распространение заражений, говорит Карпов из «Яндекса».

«Параллельно в игру вступят расследователи, они будут искать управляющий сервер. Но найдут ли того, кто за этим стоит, – неясно, такое случается довольно редко», – объясняет он.

Быстро решить проблему не выйдет, уверены эксперты. До сих пор никто не знает, через какую уязвимость ботнет расширяется, говорит Бакунов.

«Сам Mikrotik не сможет с этим ничего сделать: все зараженные устройства находятся у пользователей по всему миру. Они смогут только найти несколько зараженных устройств и провести исследование, но вряд ли это даст быстрые результаты, иначе «Яндекс» и Qrator уже и сами бы нашли уязвимость», – уверен он.

А пока ботнет, который очень быстро растет, может сильно нарастить мощности и подготовить атаку гораздо большей силы, говорит Карпов.

Скорее всего, будущие атаки, которые будут совершены с помощью этого ботнета, мы даже не заметим, объясняет Бакунов. Обычно это работает так: например, один банк заказывает другой. А для того, чтобы среднестатистический банк перестал работать, хватило бы и одной сотой части уже собранного ботнета. Но в публичном поле эти атаки обсуждаться не будут, о них редко становится известно.

Авторов ботнета, скорее всего, не найдут: максимум, что смогут сделать органы, – попытаться перехватить управление ботнетом. Но и это сделать будет сложно, потому что у современных ботнетов сложно выявить центр управления, которых может быть больше одного, говорит Лукацкий. Но есть и хорошие новости, считает Бакунов: сама по себе атака, которой подвергся «Яндекс», довольно просто блокируется. Особенно хорошо с этим справляются как раз крупные компании с хорошим уровнем безопасности.

«Так что таких игроков, скорее всего, атаковать не будут – возьмутся за тех, кто поменьше и у кого есть проблемы с безопасностью».

Автор статьи – Валерия Позычанюк