«DDoS-атака на „Таттелеком“ началась 2 мая и продолжается до сих пор. На пике в ней участвовало более миллиона адресов» «DDoS-атака на «Таттелеком» началась 2 мая и продолжается до сих пор. На пике в ней участвовало более миллиона адресов» Фото: Василий Иванов

«Таттелеком» переживает самую мощную атаку в истории

Кибератаки на самые разные сектора экономики в России давно никого не удивляют: сбои в работе банков и платежных систем, правительственных сайтов и портала госуслуг повторяются периодически и отличаются разве что временем на «починку» системы. В этом году злоумышленники особенно заинтересовались телекомом: под удар попало сразу несколько региональных операторов, а на прошлой неделе дело дошло до «Таттелекома».

«Происходит самая массированная в истории компании DDоS-атака на сетевую инфраструктуру. На данный момент ведутся работы по устранению проблемы. Могут наблюдаться перебои в работе сайта компании и мобильных приложений. Приносим извинения за доставленные неудобства», — такое сообщение появилось на сайте компании в четверг, 2 мая. А на следующий день стало понятно, что быстро ничего не закончится. «Инженеры центра информационных технологий и отдела информационной безопасности совместно с партнерами вчера защитили работу основной части инфраструктуры. Локально могут наблюдаться перебои в предоставлении сервисов или услуг связи, специалисты продолжают усиленную борьбу и активно мониторят ситуацию на сети», — сообщила пресс-служба «Таттелекома».

Подробно масштабы борьбы раскрыл накануне генеральный директор компании Айрат Нурутдинов. «DDoS-атака на „Таттелеком“ началась 2 мая и продолжается до сих пор. На пике в ней участвовало более миллиона адресов — это более миллиона ботов и зараженных компьютеров-„зомби“, которые атакуют небольшое количество IP-адресов, перегружая их. Туда же продолжают поступать и легитимные запросы от пользователей, которые в таком объеме просто не доходят до цели. Поэтому некоторые абоненты могли сталкиваться с временными перебоями работы сайта, мобильных приложений или наших сервисов, — объяснил он. — Это самая массированная атака в истории компании, беспрецедентная по объему и продолжительности. Но работа основной части инфраструктуры надежно защищена, и мы делаем все, чтобы максимально быстро стабилизировать работу наших систем для пользователей».

DDoS расшифровывается как Distributed Denial of Service, а переводится как распределенный отказ в обслуживании. Чтобы вывести из строя веб-системы, злоумышленники используют распределенную сеть из множества устройств — так называемые ботнет-сети. Участниками такой сети могут стать устройства обычных пользователей, которые подхватили вирус и на них скрытно установилось вредоносное ПО.

Во время DDoS-атаки каждый бот из сети одновременно начинает посылать запросы, создавая огромный поток данных, который не в силах обработать ресурсы жертвы. В атаке могут быть задействованы сотни таких ботов, которыми хакеры управляют удаленно.

По словам Нурутдинова, интернет устроен так, что вредоносный трафик можно отфильтровать только на вышестоящем узле. Поэтому сотрудники «Таттелекома» круглосуточно анализируют миллиарды поступающих на серверы компании пакетов (запросов от ботов и реальных пользователей) и находят в них сходные паттерны. Когда обнаруживаются закономерности — размер, отправка с определенного IP-адреса, одинаковый код или другие одинаковые свойства, — они передаются вышестоящему провайдеру, который под них настраивает систему защиты. А дальше остается ждать, пока злоумышленник заметит, что его атака отражена и изменит правила — характеристики пакетов, например, их размер. И все начинается заново.

«Это сугубо интеллектуальное состязание, — подчеркивает Нурутдинов. — Бывает, что операционные системы MacOS или Windows не используют те или иные пакеты, а Android использует, и пользователи Android сталкивались с проблемами этого порядка. Обнаружив подобное, мы уточняем фильтрацию, реагируем на обратную связь от клиентов».

Ситуацию осложняет то, что у атакующих ботов постоянно меняются сигнатуры (идентификаторы) и цели, а сами запросы очень часто совпадают с легитимными — от обычных пользователей Ситуацию осложняет то, что у атакующих ботов постоянно меняются сигнатуры (идентификаторы) и цели, а сами запросы очень часто совпадают с легитимными — от обычных пользователей Фото: ru.freepik.com

«Объем атаки больше, чем весь трафик, который потребляют наши абоненты»

«2 мая в открытом доступе мы обнаружили довольно интересные данные, содержащие инструкцию для атаки. В качестве цели были прописаны наши инфраструктурные IP-адреса, сайты, межсетевые экраны, а также адреса клиентов», — констатирует заместитель генерального директора по информационной безопасности, директор IT-департамента «Таттелекома» Ильдар Нургалеев.

По его словам, с воскресенья на понедельник атака только на один IP-адрес в пике превышала 300 Гбит/с, а общий объем легитимного и нелегитимного трафика оценивался в 700–800 Гбит/с. «Суточный трафик всей компании — около 500 гигабит в секунду. То есть уровень одной атаки больше, чем весь трафик, который потребляют все абоненты „Таттелекома“ за сутки — около миллиона пользователей. Это создает очень высокую нагрузку», — указывает он

Ситуацию осложняет то, что у атакующих ботов постоянно меняются сигнатуры (идентификаторы) и цели, а сами запросы очень часто совпадают с легитимными — от обычных пользователей. «Представляете, по одному адресу направлена тысяча легитимных запросов и сотни миллионов нелегитимных! Когда мы фильтруем вредоносный трафик, к сожалению, может отсекаться и часть легитимного. Но мы постоянно уточняем фильтрацию и перенастраиваем систему защиты», — рассказывает Нургалеев.

Он отмечает, что количество обращений абонентов в контакт-центр в моменты атак увеличивается пропорционально усилиям хакеров, но нельзя сказать, что их чрезвычайно много. «У нас более 1 миллиона абонентов. Обычно в контакт-центр к нам за четыре дня обращаются порядка 20–21 тысячи человек (это не только жалобы на неполадки, но и рутинные заявки на подключения, и так далее). В первые четыре дня атак мы зафиксировали 39–40 тысяч обращений. Конечно, периодически мы сталкиваемся с деградацией сервисов в процессе фильтрации, но максимально оперативно корректируем ситуацию».

«100-процентной защиты от такого нападения нет»: как Ак Барс Банк отбивал атаку хакеров

Время реагирования, подчеркивает заместитель гендиректора компании, колеблется от получаса до нескольких часов. «Мы определяем сигнатуры, в тестовом контуре запускаем бота, который имитирует конкретную DDoS-атаку. Тестируем, все ли работает, и, если результаты теста нас устраивают, отправляем данные одному из вышестоящих операторов. Тот проверяет фильтр на определенном количестве IP-адресов, если все работает — разворачивает и на остальные», — обрисовывает он процесс настройки защиты.

Сложность в том, что предугадать характер атаки и время ее начала невозможно. «Можно защищаться только тогда, когда атака уже началась. Например, в ночь с субботы на воскресенье сильно поменялись сигнатуры, соответственно, времени на перенастройку фильтров потребовалось больше. Сейчас основная часть наших систем работает стабильно, но могут быть повторы. Мы к ним готовы», — заключил Нургалеев.

«Текущая массированная атака нацелена на то, чтобы полностью нарушить работу компании и нанести тотальный вред инфраструктуре» «Текущая массированная атака нацелена на то, чтобы полностью нарушить работу компании и нанести тотальный вред инфраструктуре» Фото: ru.freepik.com

Кого еще атаковали?

«Последние 12 месяцев примерно дважды в неделю мы отбиваем атаки. Система отлажена, и обычные инциденты отрабатываются в штатном режиме. Но до этого DDoS были нацелены на поиск уязвимости, которая может позволить злоумышленникам захватить информацию и получить доступ к персональным данным, чтобы воспользоваться ими в коммерческих целях. Мы их успешно отбиваем, пользователи не ощущают сбоев. Текущая же массированная атака нацелена на то, чтобы полностью нарушить работу компании и нанести тотальный вред инфраструктуре», — указывает Нургалеев.

И «Таттелеком» тут не в одиночестве. Весной развернулась целая череда атак на российских региональных операторов. В конце апреля масштабную DDoS-атаку пережил башкирский «Уфанет». В компании тоже назвали атаку самой массированной за всю историю работы. Она началась 22 апреля и длилась пять дней. Вредоносный трафик поступал одновременно с 2–3 тыс. IP-адресов, мощность атаки составила 500 ГБит/с. «Это хорошо подготовленная хакерская кампания, дорогая, с неограниченным финансированием, — заявил на пресс-конференции генеральный директор „Уфанета“ Искандар Бахтияров. — Это борьба щита и меча. Такой поединок наших админов против достаточно искусных хакеров». Источник трафика находился за пределами России: атаковали, в частности, с территории Румынии и США. Ликвидировать атаку помогали минцифры и Роскомнадзор. Ущерб, нанесенный компании, оценивается в сотни миллионов рублей, отметил Бахтияров.

19 апреля началась атака на московского оператора «Облтелеком». «Общий объем трафика атаки достиг 50–60 гигабит в секунду. К 20:00 инженеры отсекли данный поток, но преступники увеличили трафик атаки до 120 гигабит в секунду», — отмечается в группе в VK оператора.

30 апреля злоумышленники атаковали интернет-провайдера «Цифровой диалог» из Ростова-на-Дону. 7 апреля «задидосили» воронежский JustLan, 15 апреля — химкинский «Телинком», 30-го — белгородский «Лучше.net». 11 марта атаке подвергся «Моснет», работающий в Москве и Нижнем Новгороде. Также в марте пользователи писали о проблемах со связью у чебоксарского «Чебнета», но сам оператор не сообщал о DDoS-атаке.

Напрямую о том, кто атаковал «Таттелеком» в этом мае, «Ак Барс Банк» в прошлом марте и целую плеяду организаций в промежутке между этими датами, в компаниях предпочитают не говорить Напрямую о том, кто атаковал «Таттелеком» в этом мае, Ак Барс Банк в прошлом марте и целую плеяду организаций в промежутке между этими датами, в компаниях предпочитают не говорить Фото: Василий Иванов

Кому понадобились операторы связи?

Компания Servicepiре, специализирующаяся на защите от DDoS-атак, сообщила, что атаки на российские ресурсы за февраль и первые две недели марта 2024 года увеличились на 363%. О том, что самыми атакуемыми отраслями в первом квартале стали IT-компании и телеком, сообщал и МТС Red. На них пришлось почти 40% инцидентов. Причем Поволжье стало лидером по числу атак в первом квартале: 38,5% всех нападений произошло здесь.

«Подобного рода атаки нацелены на затруднение доступа к сервису, — отмечает руководитель аналитического центра Zecurion Владимир Ульянов. — Можно провести аналогию с дорожной ситуацией: если количество автомобилей будет превышать пропускную способность дороги, то возникнет пробка. Если намеренно послать на эту дорогу огромное количество автомобилей, естественно, что часть машин не сможет вовремя проехать. Та же самая история с DDoS-атаками».

Ульянов напоминает, что ресурсы, которые требуются для DDoS-атак, напрямую зависят от масштабов атакуемого сервиса. «Если мы говорим о телекоммуникационном операторе и всех абонентах, то есть предположение, что, наверное, не все абоненты одновременно будут подключаться. А если и все, то они не будут полностью занимать свой канал. Если вредоносный трафик превышает объемы, то могут возникнуть сложности с каким-то из сегментов сети», — объясняет он.

Директор по информационной безопасности ГК «Элемент» Александр Дворянский подчеркивает, что число атак в целом в России увеличилось практически в 2 раза по сравнению с прошлым годом. «Нет таких отраслей, которых подобные атаки не касались, это и производство, и ретейл, и финансовый сектор, и даже многие вузы. Технологии развиваются, и растет подготовленность, качество и исполнение атак», — обращает внимание он в разговоре с «БИЗНЕС Online».

Собеседник газеты подчеркивает, что цель хакеров — показать свои возможности и приостановить бизнес. «Происхождение атак — сложный вопрос, на который однозначно никто не ответит, но по большей части атака происходит из других стран, — рассуждает Дворянский. — Если речь идет о сложной спланированной атаке, она стоит существенных денег для злоумышленников и требует серьезных внутренних ресурсов».

Напрямую о том, кто атаковал «Таттелеком» в этом мае, Ак Барс Банк в прошлом марте и целую плеяду организаций (включая государственные) в промежутке между этими датами, в компаниях предпочитают не говорить. Но вряд ли в сложившихся внешнеполитических условиях здесь может быть много вариантов с атаками такого уровня. Сбоями у части операторов уже успели похвастаться украинские СМИ и телеграм-каналы, мол, «провайдеры — это сердце современной цифровой экономики». В 2023 году численность участников украинской хакерской группировки оценивалась более чем в 600 тыс. пользователей, писал Forbes. Источники издания в отрасли информбезопасности также подтвердили, что с начала 2024-го хакеры проводят массированные атаки на домашних интернет-провайдеров. И это понятно: в конце концов захватить почту, телеграф, телефон — часть далеко не первой военной стратегии в истории.

«Атаки идут волнами, мы их отбиваем. Волны могут длиться до четырех часов. И если абоненты почувствовали, что некоторые сайты плохо работают, то нужно подождать. Все усилия компании направлены на то, чтобы уменьшить влияние беспрецедентной кибератаки на работу сервисов», — заключили в «Таттелекоме».