Asymetria między kosztami przeprowadzenia ataku DDoS a stratami ponoszonymi przez jego ofiary prowadzi do lawinowego wzrostu stosowania tej metody ataku. Wykonanie DDoS zlecić można już za kilka dolarów. Grupa Armada Collective przeprowadziła ostatnio najbardziej spektakularne ataki.
Cena przeprowadzenia ataku zależy od metody, którą zastosują crakerzy, liczby zainfekowanych urządzeń czy reputacji, jaką cieszy się botnet. Fora hakerskie oferują zarówno profesjonalistom, jak i amatorom szeroki wachlarz narzędzi i usług do przeprowadzenia ataków DDoS. Zlecający atak może nie mieć żadnych umiejętności technicznych - wystarczy, że zapłaci za jego wykonanie profesjonaliście.
DDoS (ang. Distributed Denial of Service to rozproszona odmowa usługi). Jest to atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów. Atak DDoS polega na zaatakowaniu ofiary z wielu miejsc jednocześnie. Do przeprowadzenia ataku służą najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania.
Mechanizm działania
Trwający 3 minuty atak o sile 5 Gbps, który można zlecić już za 5 dol., przekracza możliwości łącza większości firm w Polsce. Jedynie 30 dolarów kosztuje zlecenie ataku paraliżującego usługi internetowe dużego przedsiębiorstwa przez 2 godziny.
Mechanikę działania DDoS wyjaśnia Krzysztof Surgut, ekspert cyberbezpieczeństwa i szef firmy Data Space, rozwijającej systemy bezpieczeństwa IT.
- To tak, jakbyśmy fizycznie wyłączyli łącze internetowe, z tą różnicą że w przypadku ataku DDoS hakerzy potrafią podczas tego ataku wniknąć do sieci komputerowej. Można to porównać do sytuacji, gdy przed wejściem na stadion zrobimy sztuczny tłok, tylko po to, aby prześlizgnąć się ochronie i za darmo wejść na imprezę - wnosząc przy tym wszelkiego rodzaju materiały niebezpieczne. Jednocześnie sztuczny tłok nie pozwoli wejść na stadion pełnoprawnym posiadaczom biletów - wyjaśnia.
W ostatnich tygodniach zanotowano wzrost liczby długotrwałych ataków DDoS. W badaniu firmy Radware aż 20 proc. ankietowanych firm z całego świata przyznało, że jest ofiarami ataków nieustannych. To podważa tradycyjne sposoby reagowania na cyberzagrożenia, które zakładały odpowiadanie na jednorazowe przypadki - incydenty pojawiające się w nieregularnych odstępach czasu. Coraz częściej typowym stanem jest właśnie nieustanne odpieranie mniejszych lub bardziej zmasowanych ataków DDoS.
Narażeni na atak
Na ataki DDoS narażone są zwłaszcza podmioty, które opierają swą działalność na stronach internetowych. Nawet krótka przerwa w działaniu sklepu online czy pośrednika rezerwacji lotniczych naraża te przedsiębiorstwa na wysokie straty i utratę wiarygodności w oczach klientów. W czerwcu 2015 r. ofiarą takiego ataku padły m.in. Polskie Linie Lotnicze LOT. Grupy przeprowadzające ataki DDoS uciekają się także do wymuszania haraczy, które mają „uchronić” daną witrynę internetową przed atakiem DDoS.
W ostatnich tygodniach dostawcy usługi poczty elektronicznej zmagali się z silnymi atakami DDoS, które miały na celu wymuszenie okupu. Zespół ERT (Emergency Response Team) firmy Radware przeanalizował te incydenty i zidentyfikował jedną z odpowiedzialnych za to organizacji - Armada Collective.
Według specjalistów bezpieczeństwa z Radware grupa Armada Collective pierwszy raz dała o sobie znać we wrześniu tego roku, gdy przeprowadziła serię ataków na banki, serwisy e-handu i dostawców hostingu z Rosji, Tajlandii i Szwajcarii. W wiadomościach e-mail grupa żądała okupu w bitcoinach pod groźbą ataków DDoS. Jako pokaz siły Armada Collective przeprowadzało 15-30-minutowy atak. Jeśli ofiara nie przekazała okupu w ustalonym czasie, groził jej nieustanny, wielowektorowy atak. Efektem ataku jest zawsze wielogodzinne (a nawet trwające kilka dni) zablokowanie świadczonych usług internetowych.
W listopadzie ofiarami ataków padły firmy: ProtonMail, Neomailbox, VFEmail, Hushmail, Fastmail, Zoho oraz Runbox. Zażądano od nich okupu w łącznej wysokości 6 000 bitcoinów (ok. 8 mln złotych). Zespół ERT Radware, który monitoruje tego typu działania, stwierdził wielowektorowe ataki, obejmujące ataki sieciowe, aplikacyjne, a także wolumetryczne ataki DDoS o sile 30-50 Gbps.
Jak się obronić?
- Obecnie do ochrony przed atakami zaangażowano najbardziej zaawansowane algorytmy, włączając w to systemy sztucznej inteligencji - przekonuje Surgut.
- Kluczowa wydaje się świadomość zagrożeń, żeby nie ulegać złudzeniu posiadania zabezpieczeń, które ochronią daną firmę przed atakami. Ataki DDoS wydają się wszechobecne, mogą być masowo stosowane i działy IT w firmach muszą uwzględniać w swoich działaniach monitorowanie różnych działań hakerskich - podkreśla szef działu IT w PAP Norbert Mińkowski.
Eksperci wskazują, że podstawą obrony przed atakami DDoS jest wdrożenie nowych modeli dynamicznego monitorowania i zarządzania zasobami sieciowymi. Przeciwdziałanie atakowi wymaga szybkiego dostępu do alternatywnych połączeń, zapasowych serwerów i kopii danych, dlatego przedsiębiorstwa decydują się na outsourcing tej usługi do wyspecjalizowanych podmiotów. Systemy takich firm nieustannie analizują ruch trafiający do serwisów klientów i w ciągu kilku sekund mogą wykryć oraz powstrzymać kilkaset typów ataków.
Cyberataki na świecie. Najwięcej pochodzi z Chin, USA najczęstszą ofiarą:
Autor: mb/gry / Źródło: PAP, tvn24bis.pl
Źródło zdjęcia głównego: Shutterstock