Атака зомби на «Яндекс»

За атакой стоит новый загадочный ботнет, а эксперты бьют тревогу, потому что в нападении на «Яндекс» были задействованы еще не все его мощности. Разобрались, как так вышло, что «самую большую DDoS-атаку в истории» практически никто не заметил, стоит ли ждать новых атак в России и что будет, если авторы нового ботнета начнут всерьез атаковать компании поменьше.

Что случилось

На прошлых выходных «Яндекс» пережил мощную DDoS-атаку на свой сервисы. Впервые об этом вчера написали «Ведомости» со ссылкой на источников внутри компании. Тогда официальный представитель компании сообщил, что кибератака не повлияла на работу сервисов, но источник издания говорил, что российский IT-гигант с трудом сдержал атаку. Сегодня сам «Яндекс» вместе компанией Qrator Labs выпустил пространное объяснение по поводу случившегося.

По итогам расследования, результаты которого опубликованы в блоге компании на Habr, «Яндекс» заявил, что речь идет о крупнейшей DDoS-атаке за всю историю глобального интернета. «Но это лишь одна из множества атак, направленных не только на “Яндекс”, но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник — новый ботнет, о котором пока мало что известно», — говорится в заявлении.

Действительно ли атака — крупнейшая в истории?

Да, но если быть точнее, речь идет о конкретном параметре — числе запросов, которые атакующая сторона отправляла в секунду. DDoS-атаки также измеряют, например, в длительности, а еще, в зависимости от типа самой атаки, — в битах в секунду, пакетах в секунду или запросах в секунду (это наш случай). Измерения масштабов отличаются потому что отличаются сами DDoS-атаки, глобально они делятся на два типа: первый — более популярный в последние годы — атака на канал, когда, чтобы лишить пользователя доступа к интернету, ему на весь объем канала «наливают» мусор. Второй тип — атаки на приложения, когда «зомбированные» устройства атакуют конкретный сервис. Как раз такого типа и была атака на «Яндекс».

В ее случае показатель запросов в секунду превысил 21 млн. И это — самая большая цифра за историю интернета. По крайней мере из тех, о которых стало известно публично, говорит независимый IT-эксперт Григорий Бакунов (раньше был топ-менеджером «Яндекса») . Предыдущий рекорд, скорее всего, принадлежал тем же самым авторам, о нем 19 августа в своем блоге написала Cloudflare. Тогда компания зафиксировала атаку с 28 тысяч устройств мощностью в 17,2 млн запросов в секунду. А еще год назад число запросов в секунду у крупнейших DDoS-атаки не превышали миллиона, говорит Карпов.

Если говорить о масштабах атаки, она могла быть довольно большой, но если речь об ущербе, то назвать ее крупнейшей в истории нельзя, учитывая, что от нее явно никто не пострадал, говорит эксперт по кибербезоапсности Алексей Лукацкий. Компания атаку успешно отбила, а пользователи практически не заметили ее воздействия.

Кто и зачем атаковал «Яндекс»?

Кто стоит за атакой на российскую компанию — неизвестно, но «Яндекс» далеко не единственная возможная цель нового ботнета, утверждают авторы расследования. «В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой Зеландии, США и России», — пишет компания.

За всеми атаками, скорее всего, стоит новый ботнет. Его название — Mēris, с латышского это переводится как «чума» (его придумали в «Яндексе»). Новый он, потому что, в отличие от существующих раньше ботнетов, объединил в себе только роутеры небольшой латвийской компании Mikrotik, которая делает недорогое, но достаточно мощное сетевое оборудование, продающееся во многих странах.

«Кто-то — мы не знаем кто — нашел уязвимость — какую, мы тоже пока не знаем — в роутере и скорее всего продал ее людям, занимающимся DDoS-атаками», — в разговоре с The Bell объяснил директор по безопасности «Яндекса» Антон Карпов. Такие уязвимости продаются и покупаются на черном рынке, реальные расценки — около $5 млн за полезную уязвимость, говорит он.

Почему самая крупная атака пришлась именно на «Яндекс» — неизвестно, здесь можно строить только теории. Больше того, само поведение организаторов этих атак — загадочное, говорит Карпов: обычно ботнеты годами живут в тени, набирают силу а потом точечно по тарифу атакует компании. А Mēris за последние пару месяцев совершил атаки в самых разных частях мира и без очевидной цели. «”Яндекс” — не банк и финансовой выгоды атаковать нас нет, плюс мы — большая компания и атаковать нас технически сложно. А во время атаки нападающий сразу раскрывает свой ботнет и после этого с ним начинают бороться», — недоумевает он.

То, с чем столкнулся «Яндекс», — это, скорее всего, не полная мощность ботнета, а только демонстрация силы, говорит Бакунов. «Яндекс» под этим натиском выжил, но он очень большой и хорошо защищен. Практически любой другой из российских игроков, скорее всего, закончит плохо и под таким натиском выйдет из строя. Обычно такие атаки делают, чтобы продемонстрировать силу. «О том, что случилось, все написали, а теперь владелец ботнета может приходить к потенциальным клиентам и предлагать за деньги атаковать конкурента. То есть есть это просто реклама возможностей», — считает он. А учитывая, что и «Яндекс» и Qrator Lab — известные эксперты по таким атакам в России и Европе — атаку признали, то организаторы, получили не только хороший пиар, но и своего рода знак качества, считает эксперт.

Почему «Яндекс» устоял, а пользователи ничего не заметили?
По словам самой компании, дело в инфраструктуре. Во-первых, у компании достаточно распределенная инфраструктура и большой запас мощностей, говорит Карпов: «Мы большие и нас тяжело атаковать». Во-вторых, «Яндекс» может быстро масштабироваться горизонтально: если компании не хватает собственных серверов, она может быстро нарастить мощности в десятки. В-третьих, у компании есть свой антиробот, это программа, которая умеет определять, пришел ли запрос от пользователя или от робота — и отсекает лишнее. «Из-за этого нам не пришлось банить IP-адреса роутеров, если бы это случилось, то их владельцы (обычные пользователи, которые могут даже не знать, что их устройство заражено) тоже бы потеряли доступ к сервисам “Яндекса”», — говорит Карпов.

Если бы атаке такого масштаба подверглась другая российская компания, результат мог бы быть более серьезным, считают эксперты. «Интернет-компания по определению должна быть готова к такого рода проблемам. Если бы под атакой оказался, например, банк, скорее всего, эффект был бы другим. Хотя, стоит сказать, что российские банки и так недавно подвергались DDoS-атакам, но большого урона не понесли», — говорил Алексей Лукацкий.

Что будет дальше?

Сейчас на проблему появления нового ботнета обратили широкое внимание. Теперь Mikrotik, которая пока еще не признала эту новую уязвимость (компания заявила, что во взломе задействована уязвимость 2018 года, которую уже устранили, но не все пользователи поставили обновления — прим. редакции), скорее всего, выпустит обновление, которое замедлит распространение заражений, говорит Карпов из «Яндекса». «Параллельно в игру вступят организации, которые расследуют такие взломы, они будут искать управляющий сервер. Но найдут ли того кто за этим стоит — не ясно, такое случается довольно редко», — объясняет он.

Быстро решить проблему не выйдет, уверены эксперты. До сих пор никто не знает, через какую уязвимость ботнет расширяется, говорит Бакунов. «Сам Mikrotik, производитель роутеров, не сможет с этим ничего сделать: все зараженные устройства находятся у пользователей по всему миру. Что они смогут — это найти несколько зараженных устройств и провести исследование, но вряд ли это даст быстрые результаты, иначе «Яндекс» и Qrator уже и сами бы нашли уязвимость», — уверен он.

А пока что ботнет, который очень быстро растет, может сильно нарастить мощности и подготовить атаку гораздо большей силы, говорит Карпов: «Цифры сами по себе звучат пугающе: еще год назад фиксировали атаку меньше чем в миллион запросов в секунду и это было много. А сейчас мы получили атаку в двадцать раз мощнее».

Скорее всего, будущие атаки, которые будут совершены с помощью этого ботнета, мы даже не заметим, объясняет Бакунов. Обычно это работает так: например, один банк заказывает другой. А для того, чтобы среднестатистический банк перестал работать, хватило бы и одной сотой части уже собранного ботнета. Но в публичном поле эти атаки обсуждаться не будут, о них редко становится известно.

Авторов, которые стоят за ботнетом, скорее всего не найдут: максимум, что смогут сделать органы — попытаться перехватить управление ботнетом. Но и это сделать будет сложно, потому что у современных ботнетов сложно выявить центр управления, которых может быть больше одного, говорит Лукацкий. Но есть и хорошие новости, считает Бакунов: сама по себе атака, которой подвергся “Яндекс”, довольно просто блокируется. Особенно хорошо с этим справляются как раз крупные компании с хорошим уровнем безопасности. «Так что таких игроков, скорее всего атаковать не будут — возьмутся за тех, кто поменьше и у кого есть проблемы с безопасностью».