Крупнейшая в истории атака на Яндекс

10 Сен, 2021

KorRossia

Кто «наехал» на самый крупный российский поисковый агрегатор, почему он устоял, а пользователи ничего не заметили

На прошлых выходных «Яндекс» подвергся масштабной DDoS-атаке — самой крупной в истории всего интернета, если верить самой компании. За атакой стоит новый загадочный ботнет, а эксперты бьют тревогу, потому что в нападении на «Яндекс» были задействованы еще не все его мощности.

Разобрались, как так вышло, что «самую большую DDoS-атаку в истории» практически никто не заметил, стоит ли ждать новых атак в России и что будет, если авторы нового ботнета начнут всерьез атаковать компании поменьше.

Что случилось

На прошлых выходных «Яндекс» пережил мощную DDoS-атаку на свои сервисы. Впервые об этом вчера написали «Ведомости» со ссылкой на источники внутри компании. Тогда официальный представитель компании сообщил, что кибератака не повлияла на работу сервисов, но источник издания говорил, что российский IT-гигант с трудом ее сдержал. Сегодня сам «Яндекс» вместе с компанией Qrator Labs выпустил пространное объяснение по поводу случившегося.

По итогам расследования, результаты которого опубликованы в блоге компании на Habr, «Яндекс» заявил, что речь идет о крупнейшей DDoS-атаке за всю историю глобального интернета. «Но это лишь одна из множества атак, направленных не только на “Яндекс”, но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник — новый ботнет, о котором пока мало что известно», — говорится в заявлении.

Действительно ли атака — крупнейшая в истории?

Да, но, если быть точнее, речь идет о конкретном параметре — числе запросов, которые атакующая сторона отправляла в секунду. DDoS-атаки также измеряют, например, в длительности, а еще, в зависимости от типа самой атаки, — в битах в секунду, пакетах в секунду или запросах в секунду (это наш случай). Измерения масштабов отличаются, потому что отличаются сами DDoS-атаки, глобально они делятся на два типа: первый — более популярный в последние годы — атака на канал, когда, чтобы лишить пользователя доступа к интернету, ему на весь объем канала «наливают» мусор. Второй тип — атаки на приложения, когда «зомбированные» устройства из ботнета атакуют конкретный сервис. Как раз такого типа и была атака на «Яндекс».

В ее случае показатель запросов в секунду превысил 21 млн. И это — самая большая цифра за историю интернета. По крайней мере из тех, о которых стало известно публично, говорит независимый IT-эксперт Григорий Бакунов (раньше был топ-менеджером «Яндекса»). Предыдущий рекорд, скорее всего, принадлежал тем же самым авторам, о нем 19 августа в своем блоге написала Cloudflare. Тогда компания зафиксировала атаку с 28 тысяч устройств мощностью в 17,2 млн запросов в секунду. Для сравнения, еще год назад число запросов в секунду у крупнейших DDoS-атак не превышало миллиона, говорит директор по безопасности «Яндекса» Антон Карпов.

Если говорить о масштабах атаки, она могла быть довольно большой, но если речь об ущербе, то назвать ее крупнейшей в истории нельзя, учитывая, что от нее явно никто не пострадал, говорит эксперт по кибербезопасности Алексей Лукацкий. Компания атаку успешно отбила, а пользователи практически не заметили ее воздействия.

Кто и зачем атаковал «Яндекс»?

Кто стоит за атакой на российскую компанию — неизвестно, но «Яндекс» далеко не единственная возможная цель нового ботнета, утверждают авторы расследования. «В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой ЗеландииСША и России», — пишет компания.

За атакой стоит новый загадочный ботнет, а эксперты бьют тревогу, потому что в нападении на «Яндекс» были задействованы еще не все его мощности.

За всеми атаками, скорее всего, стоит новый ботнет. Его название — Mēris, с латышского это переводится как «чума» (его придумали в Qrator Labs). Новый он, потому что, в отличие от существующих раньше ботнетов, объединил в себе только роутеры небольшой латвийской компании Mikrotik, которая делает недорогое, но достаточно мощное сетевое оборудование, продающееся во многих странах.

«Кто-то — мы не знаем кто — нашел уязвимость — какую, мы тоже пока не знаем — в роутере и, скорее всего, продал ее людям, занимающимся DDoS-атаками», — в разговоре с The Bell объяснил Антон Карпов из «Яндекса». Такие уязвимости продаются и покупаются на черном рынке. Как пример, стоимость уязвимости в iPhone может достигать $5 млн, говорит он.

Почему самая крупная атака пришлась именно на «Яндекс» — неизвестно, здесь можно строить только теории. Больше того, само поведение организаторов этих атак — загадочное, говорит Карпов: обычно ботнеты годами живут в тени, набирают силу, а потом точечно по тарифу атакуют компании. А Mēris за последние пару месяцев совершил атаки в самых разных частях мира и без очевидной цели. «“Яндекс” — не банк, и финансовой выгоды атаковать нас нет, плюс мы — большая компания, и атаковать нас технически сложно. А во время атаки нападающий сразу раскрывает свой ботнет, и после этого с ним начинают бороться», — недоумевает он.

То, с чем столкнулся «Яндекс», — это, скорее всего, не полная мощность ботнета, а только демонстрация силы, говорит Бакунов. «Яндекс» под этим натиском выжил, но он очень большой и хорошо защищен. Практически любой другой из российских игроков, скорее всего, закончит плохо и под таким натиском выйдет из строя. Обычно такие атаки делают, чтобы продемонстрировать силу. «О том, что случилось, все написали, а теперь владелец ботнета может приходить к потенциальным клиентам и предлагать за деньги атаковать конкурента. То есть есть это просто реклама возможностей», — считает он. А учитывая, что и «Яндекс», и Qrator Lab — известные эксперты по таким атакам в России и Европе — атаку признали, то организаторы получили не только хороший пиар, но и своего рода знак качества, считает эксперт.

Почему «Яндекс» устоял, а пользователи ничего не заметили?

По словам самой компании, дело в инфраструктуре. Во-первых, у компании достаточно распределенная инфраструктура и большой запас мощностей, говорит Карпов: «Мы большие, и нас тяжело атаковать». Во-вторых, «Яндекс» может быстро масштабироваться горизонтально: если какому-то сервису нужно нарастить мощности, он может быстро это сделать. В-третьих, у компании есть свой антиробот, это программа, которая умеет определять, пришел ли запрос от пользователя или от робота, — и отсекает лишнее. «Из-за этого нам не пришлось банить IP-адреса роутеров, если бы это случилось, то их владельцы (обычные пользователи, которые могут даже не знать, что их устройство заражено) тоже бы потеряли доступ к сервисам “Яндекса”», — говорит Карпов.

Если бы атаке такого масштаба подверглась другая российская компания, результат мог бы быть более серьезным, считают эксперты. «Интернет-компания по определению должна быть готова к такого рода проблемам. Если бы под атакой оказался, например, банк, скорее всего, эффект был бы другим. Хотя стоит сказать, что российские банки и так недавно подвергались DDoS-атакам, но большого урона не понесли», — говорил Алексей Лукацкий.

Что будет дальше?

Сейчас на проблему появления нового ботнета обратили широкое внимание. Теперь Mikrotik, которая пока еще не признала эту новую уязвимость (компания заявила, что во взломе задействована уязвимость 2018 года, которую уже устранили, но не все пользователи поставили обновления. — Прим. ред.), скорее всего, выпустит обновление, которое замедлит распространение заражений, говорит Карпов из «Яндекса». «Параллельно в игру вступят организации, которые расследуют такие взломы, они будут искать управляющий сервер. Но найдут ли того, кто за этим стоит, — не ясно, такое случается довольно редко», — объясняет он.

Официальный представитель компании сообщил, что кибератака не повлияла на работу сервисов

Быстро решить проблему не выйдет, уверены эксперты. До сих пор никто не знает, через какую уязвимость ботнет расширяется, говорит Бакунов. «Сам Mikrotik, производитель роутеров, не сможет с этим ничего сделать: все зараженные устройства находятся у пользователей по всему миру. Что они смогут — это найти несколько зараженных устройств и провести исследование, но вряд ли это даст быстрые результаты, иначе “Яндекс” и Qrator уже и сами бы нашли уязвимость», — уверен он.

А пока что ботнет, который очень быстро растет, может сильно нарастить мощности и подготовить атаку гораздо большей силы, говорит Карпов: «Цифры сами по себе звучат пугающе: еще год назад фиксировали атаку меньше чем в миллион запросов в секунду, и это было много. А сейчас мы получили атаку в двадцать раз мощнее».

Скорее всего, будущие атаки, которые будут совершены с помощью этого ботнета, мы даже не заметим, объясняет Бакунов. Обычно это работает так: например, один банк заказывает другой. А для того, чтобы среднестатистический банк перестал работать, хватило бы и одной сотой части уже собранного ботнета. Но в публичном поле эти атаки обсуждаться не будут, о них редко становится известно.

Авторов, которые стоят за ботнетом, скорее всего, не найдут: максимум, что смогут сделать органы, — попытаться перехватить управление ботнетом. Но и это сделать будет сложно, потому что у современных ботнетов сложно выявить центр управления, которых может быть больше одного, говорит Лукацкий. Но есть и хорошие новости, считает Бакунов: сама по себе атака, которой подвергся «Яндекс», довольно просто блокируется. Особенно хорошо с этим справляются как раз крупные компании с хорошим уровнем безопасности. «Так что таких игроков, скорее всего, атаковать не будут — возьмутся за тех, кто поменьше и у кого есть проблемы с безопасностью».

Валерия Позычанюк

https://scandaly.ru/2021/09/10/krupnejshaya-v-istorii-ataka-na-yandeks/

Популярные новости

Банки сбросили маски

Банки сбросили маски

Две трети «иностранных инвесторов» в российский госдолг оказались российскими финансовыми компаниями Реальная доля иностранных инвесторов на рынке российского госдолга почти втрое меньше, чем сообщает ЦБ РФ. Такую оценку в интервью ТАСС дал Кайл Шостак, глава...

«Юра, мы всё проспали»

«Юра, мы всё проспали»

Какие космические программы планируют в мире и что мешает России вернуть лидерство С момента полета первого космонавта Земли Юрия Гагарина на корабле «Восток» прошло 60 лет. Тогда СССР занимал лидирующее место в космонавтике и соревновался в космосе с США. Сейчас...

Свидетели защиты по делу о ДТП с Ефремовым предстанут перед судом

Свидетели защиты по делу о ДТП с Ефремовым предстанут перед судом

Андрей Гаев (справа). Фото: АГН Москва Пресненский суд Москвы рассмотрит уголовные дела в отношении трех свидетелей по резонансному делу о ДТП с артистом Михаилом Ефремовым. В даче заведомо ложных показаний (ч. 1 ст. 307 УК РФ) обвиняются Андрей Гаев, Александр Кобец...

Генпрокуратура сообщила о росте взяточничества в России

Генпрокуратура сообщила о росте взяточничества в России

Число выявленных коррупционных преступлений в январе-феврале 2021 года в стране выросло на 11,8%, около половины из них связаны со взяточничеством. При этом по сравнению с началом прошлого года рост взяточничества составил более 20%, следует из данных Генпрокуратуры...

Экс-главбуха петербургского СК арестовали по делу о хищении 400 млн

Экс-главбуха петербургского СК арестовали по делу о хищении 400 млн

Бывшего руководителя финансово-экономического отдела ГСУ СКР по Санкт-Петербургу Дмитрия Ковальчука арестовали по делу о хищении около 400 млн рублей. По данным РЕН ТВ, такую сумму экс-главбух мог похитить из вещественных доказательств, изъятых коллегами по комитету...

Россия раздала миллиарды “политическим друзьям”: Всемирный банк рассекретил данные

Россия раздала миллиарды “политическим друзьям”: Всемирный банк рассекретил данные

Названы крупнейшие должники России. Около тридцати стран задолжали России по двусторонним займам $22,9 млрд. В тройке крупнейших должников — Белоруссия, Бангладеш и Венесуэла. К этой информации Всемирного банка, стоит присмотреться, поскольку у нас в стране ее...

В центре внимания

Обращение к коллективу Посольства РФ в Монголии

Обращение к коллективу Посольства РФ в Монголии

Почему именно к коллективу? Потому что год назад мы обращались к Послу Азизову и в итоге получили только раздражение за нарушенный семилетний покой и ряд незаслуженных неэтичных оскорблений. Поэтому мы надеемся, что в посольстве есть здравомыслящие патриотичные...

Эрос остановился на Енисее

Эрос остановился на Енисее

12 апреля в Красноярске одновременно стартуют экономический и эротический форумы КЭФ-21 — это теперь не только Красноярский экономический форум. Еще и Красноярский эротический форум. Оба пройдут с 12 по 16 апреля, программы похожи. Только за первый отвечает...

Следователь вещдоку не товарищ

Следователь вещдоку не товарищ

Начальника следственного отдела ОМВД по Ярославскому району Москвы Михаила Белявского взяли под стражу за пропажу 20,8 млн руб., которые хранились в сейфе его служебного кабинета Пресненский суд Москвы заключил на два месяца (до 25 мая) под стражу заместителя...

Глава Куюргазинского района Башкирии устраивал на работу своих родственников и укрывал доходы

Глава Куюргазинского района Башкирии устраивал на работу своих родственников и укрывал доходы

Прокуратура Башкирии провела проверку в отношении главы Куюргазинского района на соблюдение законодательства о противодействии коррупции. Об этом сообщает пресс-служба ведомства.    Как установили правоохранительные органы, в январе прошлого года глава администрации...

УФСБ и СК России проводят обыски у нижегородского бизнесмена Михаила Жижина

УФСБ и СК России проводят обыски у нижегородского бизнесмена Михаила Жижина

Силовики проводят обыски у нижегородского бизнесмена Михаила Жижина, бенефициара ГК «Гармония-Нижегородец». Информация об этом появилась в четверг, 1 апреля 2021 года.   По данным источника телеграм-канала "Опер пишет", обыски проводятся УФСБ России совместно со...

Частно-государственная партнерша

Частно-государственная партнерша

Как спутница министра Силуанова получила доступ к бюджетным миллиардам Новая сожительница министра финансов Антона Силуанова, 33-летняя Ольга Хромченко, получила доли в проектах, связанных с масштабным госфинансированием (выделенным без конкурса). Среди прочего, она...