«Лаборатория Касперского»: в России зафиксированы DDoS-атаки с шифрованием
"Лаборатория Касперского" зафиксировала первые в России DDoS-атаки типа Wordpress Pingback, реализованные через защищенные шифрованием соединения. Этот способ начал набирать популярность у злоумышленников в третьем квартале 2016 года.
Эксперты объясняют это тем, что применение шифрования помогает киберпреступникам оставаться незамеченными для большинства защитных решений и увеличивают таким образом эффективность атак.
Обнаруженные DDoS-атаки с использованием шифрования были направлены на веб-сайт "Новой газеты". Все атаки были успешно отражены и сайт продолжает нормально функционировать.
Злоумышленники эксплуатировали уязвимости платформы WordPress. Атаки типа WordPress Pingback известны с 2014 года и относятся к классу атак "с отражением" - то есть ресурс жертвы атакуют не используя классические ботнеты, а применяя для этого серверы, содержащие уязвимости в логике работы установленного на них ПО. В случае с WordPress Pingback в качестве таких серверов используются сайты, построенные с применением Wordpress CMS с включенным режимом Pingback, изначально созданным для автоматического оповещения авторов об обновлениях в их постах. Злоумышленник отправляет на такие сайты специально созданный http-запрос с ложным обратным адресом (адресом жертвы), на который сервер отсылает ответы. Атака формируется из десятков подобных ответов, в результате чего возникают сбои в работе веб-ресурса жертвы.
В этом случае однако DDoS-атаки отличались от описанной классической схемы тем, что поток трафика, направленный на атакуемый веб-сайт, был зашифрован.
Как пояснил Алексей Киселев, руководитель проекта Kaspersky DDoS Prevention в России, использование шифрования значительно затрудняет обнаружение атаки и защиту от нее, поскольку требует расшифровки трафика для того, чтобы определить чистый он или "мусорный". В то же время такая атака создает большую нагрузку на атакованный ресурс, чем стандартная, поскольку установка зашифрованного соединения является более сложной с технологической точки зрения. Наконец, еще одна трудность заключается в том, что современные защитные механизмы шифрования не предоставляют доступ к содержимому трафика третьей стороне.
