Украина – Россия DDoS война без правил и линии фронта

Алексей Мальнев
Начальник отдела защиты КСИИ “АМТ-ГРУП"

После единичных случаев кибердиверсий в 1980-х и 1990-х, c начала 2000-х гг. началась настоящая кибервойна без начала и конца, без каких-либо правил. Периодические протесты разных сторон ни к чему не приводят и не приведут, - раз даже в реальном мире наднациональные структуры (ООН, ОБСЕ и т.д.) оказываются бессильными под давлением мощных держав. Что говорить о киберпространстве, где доказательная база изначально добывается значительно сложнее и отсутствует понятие границ государства.

Возможно, читатели уже слышали про недавний (очередной) скандал между Китаем и США, связанный с кибершпионажем. Как обычно, никто ничего не признает. Отмечу лишь, что в подразделениях кибервойск США и Китая (самые яркие примеры: USCYBERCOM в США или НОАК 61398 в КНР) числятся сотни и тысячи военных специалистов, есть возможность задействовать подразделения ВВС, флота, разведки. Также, безусловно, растет уровень влияния хактевистов (группы хакеров по всему миру, действующие в основном по политическим мотивам и из желания прославиться).

Сегодняшняя конфликтная ситуация в соседнем государстве позволяет нам воочию наблюдать и проанализировать методы работы противоборствующих сил в киберпростран-стве, их основные задачи и цели в кризисах подобного уровня. Кроме того, она поможет спрогнозировать действия сторон и в случае более серьезных обострений. Все это, безусловно, поможет нам подготовиться и минимизировать негативное воздействие на наше киберпространство в кризисные моменты.

В данной статье я бы хотел оценить произошедшие события на примере самой громкой и одной из самых распространенных угроз в Интернете – DDoS-атаки.

Для начала приведу краткую сводку событий, связанных с DDoS. Разумеется, перечисляю наиболее известные и крупные инциденты, о которых было заявлено публично. Безусловно, можно привести десятки других, менее значимых. Так уж получилось, что Россия в данной ситуации оказалась вовлеченной в конфликт, поэтому все, что мы рассматриваем, характерно и для России, и для Украины с некоторыми оговорками. Также вовлеченными (или скорее вовлекающими) оказались страны НАТО.

Октябрь – декабрь 2013

• Атакован сайт партии Украины "Батькiвщина" (после инсталляции систем защиты от DDoS сами серверы были изъяты представителями силовых подразделений).
• Атакован сайт Центробанка России.

Январь – февраль 2014

• Атакованы информационные системы сайта "Почты России" и сайт "Ведомостей".

Март 2014

• Атакован официальный сайт Президента России (kremlin.ru), крымские сайты референдума (referendum2014.org.ua) и ряд форумов Севастополя и Крыма, сайты Банка России, МИД России, Альфабанка, ВТБ24.
• Атакованы российские биржевые площадки.
• Атакованы сети передачи данных провайдеров Интернета в России.
• Атакован сайт НАТО и NATO Cooperative Cyber Defense Center of Excellence (CCDCOE).
• Атакован сайт украинского информагентства УНИАН.
• Атакован сайт Верховного совета Крыма.
• Атакован сайт ТКС Банка.

Апрель 2014

• Атакованы сайты "МК", Russia Today, "Новой Газеты".

Май 2014

• Атакован сайт информационного агентства "Украинские национальные новости".
• Атакован сайт "Известий".
• Атакован сайт ЦИК Украины.

По факту данных инцидентов можно сделать выводы

1. Большая часть значимых инцидентов произошла с ресурсами СМИ, официальными сайтами ведомств. То есть DDoS использовался как элемент информационной борьбы: лишить оппонента источника информации, парализовать работу с общественностью, снизить уровень коммуникации населения в информационном поле оппонента.

2. Достаточно "популярен" оказался финансовый сектор. Здесь в ряде случаев был элемент диверсии, хотя наверняка чаще это была нечистоплотная конкурентная борьба: "под шумок" навредить конкуренту.

3. Значительная часть инцидентов приписывается хактеви-стам. Основные хактевисты, "представляющие обе стороны": Anonymous Ukraine, Kiберсотня и Киберберкут.

4. Аномальная активность DDoS-атак точно совпала с началом эскалации политического кризиса на Украине. Этот эффект прослеживается четко. И по мере втягивания других сторон инциденты в аномальном количестве появляются и у них.

Статистика

Анализируя активность DDoS, всегда нужно учитывать тот факт, что из года в год интенсивность и сложность DDoS-атак растет. Поэтому нужно обязательно рассматривать текущую ситуацию, сравнивая ее с общей картиной в целом и отделить "нормальный рост" от "аномального роста" количества и/или объема DDoS-атак.

Пользуясь сервисом http://www.digitalattackmap.com/ (совместная разработка Arbor Networks и Google), можно получить наглядную картину по миру по объему и характеру DDoS (см. рис. 1).

Видно, что за год в мировом масштабе происходящие с октября 2013 г. на Украине события не имеют заметного влияния на общую картину. Заметный (многократный) рост объема DDoS-атак наблюдается только в многолетней перспективе.

Теперь посмотрим на картину по России: здесь видно резкое нарастание объема DDoS с начала 2014 г. (и в основном с марта, что совпадает с известными событиями в Крыму), и пик пришелся на март – апрель (см. рис. 2).

Примерно похожая картина наблюдалась на Украине, с той разницей, что всплески объема DDoS там наблюдались уже с октября 2013 г., причины чего также вполне понятны (см. рис. 3).

Учитывая, что DDoS в значительной степени генерировался хактевистами в ответ на нарастание напряженности и политического кризиса, то не удивительно, что на Украине крупные инциденты наблюдаются с октября 2013 г. (отказ от евроинтеграции и начало майдана).

По характеру и природе чаще наблюдались Volumetric DDoS-атаки (см. рис. 4).

Теперь, рассмотрим глубже характер инцидентов (поквартально в Q4 2013 г. и Q1 2014 г.) по России и Украине (здесь приведены данные системы Arbor Atlas):

Q4 2013 Украина

• Количество DDoS атак: 9370.
• Максимальная атака (в пике): около 69 Гбит/с (6 млн пакетов в секунду) (см. рис. 5).

Q1 2014 Украина

• Количество DDoS-атак: 1310.
• Максимальная атака (в пике): около 211 Гбит/с (56 млн пакетов в секунду) (см. рис. 6).

Q4 2013 Россия

• Количество DDoS-атак: 11 635.
• Максимальная атака (в пике): около 133 Гбит/с (13 млн пакетов в секунду) (см. рис. 7).

Q1 2014 Россия

• Количество DDoS-атак: более 7187.
• Максимальная атака (в пике): около 125 Гбит/с (33 млн пакетов в секунду) (см. рис. 8).

Выводы

Пользуясь данными диаграммами и статистикой, можно сделать следующие выводы:

1. И в России, и на Украине в сравнении Q1 2014 г. и Q4 2013 г. наблюдалось снижение общего числа DDOS-атак (в разы), но одновременно и многократно увеличилась интенсивность. Также увеличилась продолжительность DDoS-атак. То есть в среднем участники "боевых действий" прекратили размениваться по мелочам и перешли с мелких диверсий к серьезным и масштабным действиям в кибер-пространстве.

По России, несмотря на то что (казалось бы) снизилось число инцидентов и даже максимально зарегистрированная DDoS-атака в Q1 2014 г. чуть уступает Q4 2013 г. (125 и 133 Гбит/с соответственно), общий объем крупных атак в Q1 2014 г. значительно (в разы) превышает Q4 2013.

2. Весьма показательно, что распределение атакуемых сервисов по номерам TCP/UDP портов в Q1 2014 г. смещается в сторону конкретных портов диапазона well known. То есть меньшая хаотичность при выборе сервисов и протоколов объясняется конкретными целями, в частности акцентом на Web-ресурсы СМИ и государственные структуры.

3. Большая нацеленность подтверждается и увеличением среднего времени (продолжительности) DDoS-атаки.

В целом ситуация наглядно продемонстрировала, как могут и будут использоваться DDoS-атаки в условиях острого политического и межгосударственного кризиса. DDoS явился полноценной частью информационной борьбы. В случае более серьезных конфликтов, думаю, DDoS начнет массово использоваться и против инфраструктуры операторов связи разных уровней (хотя уже сейчас, по средней мировой статистике, 2/3 атак – на Tier 2 и 1/5 – на Tier 1. Но как мы смогли убедиться на примере недавнего конфликта, в первую очередь меняется агрессивность атак, а не их количество). То есть задачи DDoS расширятся с задач информационной борьбы до задач кибердиверсий. Пока ситуация на Украине не соответствовала столь жесткому сценарию применения DDoS.

Безусловно, учитывая тенденции по среднему увеличению объема DDoS-атак и их сложности, следующие конфликты будут сопровождаться значительно более интенсивными DDoS-атаками. Обычно армии готовятся к войнам прошлого и оказываются не готовыми к войнам настоящего. Защитить или минимизировать эффект от киберугроз и DDoS, в частности, может государственная стратегия защиты операторов связи национального уровня. С технической точки зрения понадобятся системы очистки от DDoS, сопоставимые по производительности с пропускной способностью основных каналов операторов связи, иерархические системы подавления DDoS, способные инициировать очистку на уровень выше (Tier 1/2/3/Пред-приятие/ЦОД/Хостинг), продуманные концепции защищенной настройки сетевого оборудования.

Значительная часть основных операторов связи России уже развивает системы защиты от DDoS. Если говорить о хостинг-площадках, СМИ, финансовых и торговых площадках, государственных интернет-сервисах, то факт наличия серьезных угроз им уже очевиден: можно заключить, что они станут первой целью в кризисные периоды.