В интернете были обнаружены сайты, которые используют мощности устройств своих посетителей для совершения DDoS-атак на российские веб-ресурсы. Об этом «Газете.Ru» сообщили эксперты компаний StormWall и DDoS-Guard, специализирующихся на отражении таких атак.
Часть таких ресурсов создана специально для воздействия на РФ, о чем сигнализируют антироссийские призывы, размещенные на их страницах, а часть – используют мощности своих посетителей скрыто, без соответствующего уведомления. В последнем случае скрипты (микропрограммы), которые заставляют устройства пользователей направлять множество запросов на российские веб-ресурсы, встраиваются в сайты администраторами умышленно, либо оказываются там в результате взлома.
«Есть зараженные сайты, где атака происходит против желания вебмастера. Многие из них построены на WordPress (система управления контентом). Во-первых, это самый популярный «движок» для сайтов. А во-вторых, в нем достаточно много уязвимостей. К тому же администраторы таких сайтов часто пренебрегают обновлениями», – объяснил генеральный директор и сооснователь StormWall Рамиль Хантимиров.
Эксперт направления защиты L7 компании DDoS-Guard Дмитрий Никонов также подтвердил существование сайтов, которые скрытно вовлекают пользователей в DDoS-атаки. Вместе с тем в компании отметили существование сайтов, которые маскируются под простые браузерные игры вроде головоломки «2048».
«В общей сложности за месяц мы обнаружили около пятидесяти сайтов, пользователи которых разными способами вовлекались в DDoS-атаки», – заявил Никонов.
Ранее издание Bleeping Computer сообщало, что один из найденных ими скриптов атакует 67 российских сайтов. По словам руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, целевыми ресурсами являются преимущество сайты российских СМИ, госорганизаций и ведомств. Эксперт уверен, что за распространением подобных скриптов стоят проукраинские активисты.
«Это очевидно. Во-первых, именно эта модель генерации нагрузки на веб-ресурсы используется ими с самого начала спецоперации. Ее схемы распространяются по чатам и сообществам так называемой «IT Army» Украины. Во-вторых, западными исследователями совершенно точно указано, что объектами DDOS-атак распространяемого скрипта являются 67 российских вебсайтов», – сказал он.
Хотя DDoS-атаки, организованные подобным образом, технически реализованы довольно примитивно, эксперты утверждают, что они представляют угрозу рунету как минимум за счет масштабности.
«В пике, который пришелся на начало марта, мы наблюдали атаки с одновременным участием сотен тысяч IP-адресов, то есть пользовательских устройств. По нашим показателям, тогда Россию атаковали из всех стран Европы. Само собой, сайты, которые не обладают системой защиты от DDoS-атак, при такой нагрузке выйдут из строя. Поэтому, да, ресурсы, которые включают пользователей в DDoS-атаки, представляют для рунета реальную угрозу», – заявили в DDoS-Guard.
В свою очередь Рамиль Хантимиров из StormWall добавил, что атаки, которые реализуются настоящими пользователями отражать сложнее, чем атаки ботнетов (сетей, зараженных устройств, которые работают по заданной программе).
«Такие запросы требуют дополнительных усилий по фильтрации. В том числе для их отражения требуется подключение качественной DDoS-защиты, которая эффективно сможет выявлять трафик, генерируемый не только ботами, но и зараженными сайтами», – сказал эксперт.
Руководитель компании ITGLOBAL.COM Security ltd. Александр Зубриков также добавил, что ввиду большого объема генерируемого трафика DDoS-атаки потенциально угрожают не только целевым сайтам, но и ресурсам, которые находятся в той же сети. Проще говоря, если атака будет направлена на один сервис компании «Яндекс», есть вероятность, что сбои будут наблюдаться и в другом, при условии, что оба сервиса пользуются одной инфраструктурой.
Так как часть вредоносных сайтов вовлекает устройства пользователей в DDoS-атаки скрытно, эксперты дали несколько рекомендаций, которые помогут не стать жертвами таких ресурсов или оперативно выявить случившееся заражение.
«В первую, очередь необходимо установить антивирусное ПО на все устройства, включая умные девайсы, сменить пароль по умолчанию на роутере и регулярно обновлять все программы и браузер. Обращайте внимание на значок замка в строке браузера — он подсказывает, можно ли доверять сайту, который вы хотите посетить, или нет. Доверенный ресурс должен начинаться с букв «https»», – сказал Зубриков.
Вместе с тем, по его словам, не лишним будет следить за поведением своих смартфонов и компьютеров. Замедление их работы, появление подозрительных процессов в диспетчере задач, всплывающие окна браузера – все это, по словам эксперта, может говорить о включении устройств в ботнет.
В DDoS-Guard рекомендовали при наличии соответствующих навыков проверять коды подозрительных сайтов. В них можно обнаружить те самые скрипты, которые перенаправляют трафик пользовательских устройств на российские.
Роман Кильдюшкин