Недавно наши аналитики обнаружили троянца, от которого, судя по всему, исходили атаки на Сбербанк. Он создает ботнеты, сети зараженных компьютеров, и использует их для генерации огромного количества запросов, хотя в принципе зараженные компьютеры можно использовать и как-нибудь еще.
Все ограничено только фантазией владельца ботнета. Но все-таки нынешние владельцы сочли, что DDoS-атаки сейчас выгоднее всего. Почему?
DDoS атаки на компании и организации — явление привычное. Рекорды мощности атак ставятся чуть ли ни каждый месяц. В этих условиях рассчитывать на 100-процентную доступность сайта наивно. Цель атаки может быть выбрана по политическим соображениям, личной неприязни, случайно или на основе информации о имеющихся недостатках в системе безопасности. Разными могут быть и задачи злоумышленников — от хулиганства и взлома сайта с целью размещения какой-либо надписи до нарушения работы компании и хищения конфиденциальной информации.
Почему нужно бояться DDoS? Потому что DDoS — это доступно. Полноценный взлом сети компании может потребовать высокой квалификации и даже привести к деанонимизации атакующего. А DDoS доступен любому, кто имеет известную сумму денег (небольшую) и получил доступ к подпольным системам заказа подобных услуг. Ситуация такова, что реализовать мощную DDoS-атаку может даже рассерженный ребенок,
Что привело к такой ситуации? Недостаточная квалификация системных администраторов, безграмотность пользователей и пренебрежение безопасностью производителями ПО и железа. При этом только безграмотность пользователей может быть оправдана: никто не может требовать, чтобы любой человек был экспертом по безопасности.
Является ли проблема громом среди ясного неба? Однозначно нет. Аналитики компании «Доктор Веб» уже в прошлом году предсказывали рост интереса злоумышленников к устройствам IoT. Это же говорили и другие эксперты. Скажем, чешский провайдер NIC.CZ на основе работы своего honeypot определил, что встроенные системы (особенно CCTV видеокамеры) наиболее уязвимы. Причина тому — ситуация, когда бОльшая часть экземпляров одной модели устройств имеет одинаковые уязвимости и одинаковые пароли, или заводские, или широко распространенные (вроде 123456).
Но это пользователи. А администраторы сетей?
Исследование компании Rapid7 выявило 15 млн хостов с открытым telnet-портом и 4,5 млн хостов с открытым доступом к сервисам печати.
При этом пользователи массово пренебрегают защитой и личного сетевого оборудования, и личных устройств. Считая, что антивирус — это дорого.
В таких условиях взрывной рост числа атак на основе IoT был лишь вопросом времени.
По данным Flashpoint, на 6.10.2016 имелось более 515 тыс. устройств, подверженных одновременно CVE-2016-1000245 и CVE-2016-1000246. При этом CVE-2016-1000246 позволяет обойти ввод учетной записи и пароля — неплохо, да? Это только две уязвимости. Думаю, спрашивать о том, закроют ли их сами пользователи, бессмысленно. И вот он — стабильный источник атак.
Давайте попробуем заглянуть в будущее.
Как известно, первые атаки тестовые, на них обкатывают технологию. Криминальный мир на данный момент — рынок подпольных услуг. Отработанная технология будет использоваться криминальными группировками, предлагающими атаки за минимальную цену, утечка исходных кодов вредоносного ПО приводит к появлению большого числа «последователей».
Так вот, возвращаясь к атакам на банки, на чёрном рынке сейчас активно продвигается BackDoor.IRC.Medusa.1 — тот самый троянец, что с 11 по 14 ноября 2016 года использовался в атаках на веб-сайты Rosbank.ru (Росбанк), Eximbank.ru (Росэксимбанк), а также Fr.livraison.lu и En.livraison.lu (сеть ресторанов Livraison) и Korytov-photographer.ru (частный веб-сайт). Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 25 000 запросов в секунду с пиковым значением 30 000, а в качестве доказательства они приводят график тестовой атаки на http-сервер NGNIX. И что же? Пока что всё выглядит так, будто выбор первоначальных целей сделал им отличную рекламу.
В идеале лечить нужно саму болезнь, а не симптомы. Но, увы, пока что мир, в котором все пользователи серьёзно относятся к безопасности, на полноценных компьютерах ставят и используют антивирусы, а «умные девайсы» правильно настраивают и время от времени сканируют линуксовым антивирусом, выглядит утопией.
Впрочем, это не значит, что лечиться не стоит.