Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
Известия
4 месяца назад

Разведка сбоем: пресечена крупнейшая бот-атака на госструктуры в РФ

Рекордную атаку на российские государственные и общественные организации, в которой были задействованы 4,6 млн IP-адресов, зафиксировали 16 мая, рассказали «Известиям» в компании по сетевой безопасности Curator. Участники рынка подтвердили, что с 15 мая фиксировалось большое число автоматизированных DDoS-атак. И если атаку 16 мая отразили, то уже с 19-го началась новая волна, которая продлилась минимум двое суток, — сбои в работе сервисов подтвердила, в частности, Федеральная налоговая служба. О том, в чем проблема с уязвимостью государственных структур и как можно отразить подобные нападения, — в материале «Известий».

Как проходила ботнет-атака

В России нейтрализована крупнейшая за последние годы ботнет-атака на госструктуры и общественные организации. Она произошла 16 мая, сообщили «Известиям» в компании по кибербезопасности Curator. Были заблокированы 4,6 млн IP-адресов.

«Для сравнения: самый большой DDoS-ботнет, выявленный в 2023 году, состоял из 136 тыс. устройств, а крупнейший DDoS-ботнет, обнаруженный в 2024 году — из 227 тыс. устройств», — пояснили в пресс-службе компании.

Хакер
Фото: ИЗВЕСТИЯ/Сергей Лантюхов

Там отметили, что атака проходила в несколько этапов. На первом злоумышленники задействовали около 2 млн устройств. На втором к ним добавили еще 1,5 млн, а на третьем атакующие увеличили количество устройств до 4,6 млн.

«Вероятно, при этом они использовали все ресурсы, которыми располагали, — рассказали в компании. — Большая часть задействованных в ботнете устройств были из Южной и Северной Америки».

В частности, примерно 1,37 млн заблокированных во время атаки IP-адресов (30% всего ботнета) были зарегистрированы в Бразилии, 555 тыс. устройств были из США, 362 тыс. из Вьетнама, 135 тыс. из Индии и 127 тыс. из Аргентины.

«Ранее в этом году мы уже сталкивались с этим ботнетом — тогда мы заблокировали 1,33 млн IP-адресов. В этот же раз мы наблюдали более чем трехкратный рост числа задействованных в атаке устройств, что может указывать на активное развитие ботнета его организаторами», — сказал генеральный директор Curator Дмитрий Ткачев.

Он пояснил, что при атаке на незащищенные или плохо защищенные ресурсы DDoS-ботнет такого размера может генерировать десятки миллионов запросов в секунду и выводить из строя сервера. Подобную атаку может выдержать не каждый провайдер DDoS-защиты, что потенциально ставит под угрозу доступность ресурсов всех клиентов одновременно.

В компании не сообщили, кто стоит за этой атакой. Но эксперт группы компаний «Гарда» Лука Сафонов сообщил, что предварительно ответственность на себя взяла так называемая IT-армия Украины.

Хакер
Фото: ИЗВЕСТИЯ/Анна Селина

Эксперт подтвердил, что 16 мая работал «довольно большой ботнет».

— Но аналитика учитывает обычно не количество атакующих устройств, а мощность атаки по количеству запросов к ресурсам или утилизации каналов, — сказал Лука Сафонов.

Он пояснил, что с помощью ботнет-атаки злоумышленники получают доступ к легитимным устройствам и серверам и с их помощью делают запросы к атакуемым сайтам, используя ресурсы захваченных устройств.

— Такие атаки, как правило, забивают канал и обрушивают ресурсы большим количеством даже легитимных запросов. Бывает сложно выявить среди запросов те, которые относятся к реальным пользователям, — рассказал он.

Руководитель направления Pre-sale StormWall Дмитрий Белянин подтвердил, что автоматизированных DDoS-атак на российские организации 15–19 мая действительно было «заметно больше».

— Если сравнивать с тем же периодом предыдущего года, то прирост составил 144%, — сказал он. — Однако в эти дни мы фиксировали существенный рост количества атак не только в госсекторе, но и в других отраслях. В частности, в ритейле, телеком-сфере и финансовых компаниях. По нашим предварительным оценкам, более половины атак на предприятия этих отраслей было совершено с помощью ботнета, который использовал преимущественно российские IP-адреса.

Заявленную в 4,6 млн IP-адресов цифру он назвал неоднозначной.

Провода
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

— С одной стороны, рекордные масштабы появляются в инфополе всё чаще: ботнеты действительно становятся мощнее, количество используемых устройств растет с каждым годом, — сказал эксперт. — С другой стороны, цифра в 4,6 млн заблокированных IP-адресов может быть не совсем точной. Всё зависит от того, как именно считается и фильтруется трафик в конкретной системе.

Когда идет речь о мощности ботнета и мощности атаки — в этом всегда есть некий вариант пиара, заявил «Известиям» директор по продуктам службы компьютерной безопасности Servicepipe Михаил Хлебунов.

— Например, коммерческие группировки, которые обладают ботнетами и сдают их в аренду, часто не только охотно рассказывают об их мощности, но и проводят показательные атаки для ее демонстрации, — сказал он. — В то же время мощная атака не означает наивысшую опасность для бизнеса.

Как отразить атаку ботов

Как напомнил Дмитрий Белянин, ботнет — это сеть зараженных устройств, атакующий управляет ими и может с их помощью генерировать огромное количество запросов к ресурсам жертвы. Такой вредоносный трафик может работать на уровне приложений и выводить из строя инфраструктуру на сетевом уровне.

— Также мы всё чаще замечаем, что ботнеты участвуют в комбинированных атаках, которые затрагивают сразу несколько уровней инфраструктуры, — рассказал он.

Хакер
Фото: ИЗВЕСТИЯ/Анна Селина

Обычно к последствиям таких атак относятся недоступность сайтов и веб-приложений, проблемы в их работе. Коммерческие компании несут репутационные и финансовые потери. В случае с государственными и общественными организациями ботнеты зачастую используются как оружие в рамках информационной войны.

— Но также есть случаи, когда группировки запускают атаки с целью демонстрации своих сил и саморекламы, — рассказал Дмитрий Белянин.

При «классической» DDoS-атаке, когда весь вредоносный трафик направляется по нескольким IP-адресам, атаку легко выявить, а трафик — отфильтровать, рассказал Михаил Хлебунов.

Опаснее интеллектуальные атаки, пусть и не самой высокой мощности, когда инструменты ИИ позволяют атакующим быстро менять вектор ударов, преодолевая таким образом защиту, построенную на шаблонных решениях, — сказал эксперт. — У многовекторных ковровых атак, которые приводили к недоступности сервисов в 2024 году, а также многих госресурсов и крупнейших игроков телекома в 2025 году не было рекордных скоростей или мощностей ботнетов.

Основная сложность в отражении массовых атак в том, что источники трафика распространены по всему миру и их количество может достигать нескольких миллионов, добавил Дмитрий Белянин.

Хакер
Фото: ИЗВЕСТИЯ/Алексей Майшев

— При этом боты всё чаще ведут себя как легитимные пользователи, поэтому отфильтровать вредоносный трафик без ложных срабатываний — непростая задача, — рассказал он. — Для отражения ботнет-атак требуются профессиональные antiDDoS-решения. Они отражают такие атаки благодаря многоуровневой защите, сочетающей автоматическую фильтрацию трафика, анализ поведенческих паттернов и глобально распределенную сеть центров очистки.

В разработке специализированных средств защиты часто используется машинное обучение, которое помогает оперативно распознавать аномалии, даже когда атака маскируется под легитимный трафик.

Продолжение атак

Впрочем, и 20 мая ознаменовалось атаками на государственные и коммерческие структуры — не столь массовыми, но с более серьезными последствиями. Так, ФНС официально сообщила, что фиксирует высокоуровневые DDoS-атаки из-за рубежа. Они начались еще утром 19 мая.

«Системы безопасности и управления инфраструктурой работают в штатном режиме, данные пользователей надежно защищены, проникновения в инфраструктуру ФНС России отсутствуют. Служба информационной безопасности ФНС России работает в усиленном режиме, совместно с профильными подразделениями оператора связи», — заявили в ведомстве, предупредив, что периодически электронные сервисы федеральной службы могут быть недоступны краткое время.

Источники «Известий» в компании по кибербезопасности сообщили, что атаки на федеральную службу вторые сутки ведут украинские хакеры.

Хакер
Фото: ИЗВЕСТИЯ/Алексей Майшев

Также о сбое сообщали пользователи Национальной системы цифровой маркировки «Честный знак». Так, за сутки на сервис Downdetector поступило около 1,2 тыс. сообщений от них, это считается «умеренным» количеством. В компании «Честный знак» заявили, что система маркировки работает стабильно, сбоев не зафиксировано.

В сервисе Downdetector также зафиксировали сбои в сервисе для управления персоналом Saby (почти 9,4 тыс. жалоб), системе «Госключ» (9,8 тыс. обращений). По работе сервисов ФНС поступило около 5,4 тыс. жалоб.

За последнее время хактивисты уже не раз атаковали государственные и окологосударственные ресурсы, подтвердил Михаил Хлебунов.

— При этом злоумышленники использовали инструменты ИИ, которые позволяют атакующим быстро подстраивать вектор атаки таким образом, чтобы преодолевать защиту, построенную на шаблонных решениях, — пояснил он. — Чтобы противостоять таким атакам, надо иметь решения с возможностью быстро и гибко адаптироваться к новым векторам.

В числе сложностей защиты от подобных интеллектуальных атак для государственных ресурсов он назвал то, что они не могут отдать свой трафик на очистку сервис-провайдерам. Им необходимы on-premise решения, то есть находящиеся внутри инфраструктуры госкомпании.

Назад