CISO «Т1 Облако» Алексей Кубарев – о самой крупной DDoS-атаке в истории компании

В 2024 году инфраструктура «Т1 Облако» столкнулась с самой масштабной DDoS-атакой за всю историю компании. Ботнет одновременно атаковал транспортный, сетевой и прикладной уровни, а нагрузка на пике превышала 50 Гбит/с. Атака длилась около трех часов и затронула все сетевые ресурсы с публичными адресами. Однако благодаря заранее выстроенным процессам, защите критичных систем и командной работе атака не привела к серьезным последствиям. Случай стал для нас скорее точкой роста, после которой подход к обеспечению устойчивости инфраструктуры качественно изменился.

Первым признаком инцидента стала потеря трафика на публичных ресурсах и VPN-сервисах. Каналы связи с интернетом оказались перегружены, часть виртуальных машин на платформе VMware временно потеряла доступность. Специалисты центра мониторинга зафиксировали мгновенный рост внешнего трафика до десятков гигабит в секунду, который поступал с множества адресов. Мы быстро поняли, что цель — не конкретный клиент, а вся инфраструктура облака. Классические меры вроде blackhole routing оказались неприменимыми: блокировка адресов фактически означала бы отключение всей сети и недоступность всех клиентов.

Анализ показал, что атака была распределенной и скоординированной. Потоки данных шли через различные автономные системы и географические сегменты. Основной объем пришел от ряда зарубежных операторов. Мы приняли решение оперативно ограничить анонсирование наших сетей в этих сегментах — это помогло снизить объем вредоносного трафика, но вызвало побочный эффект, когда часть клиентов, использовавших Google DNS, временно потеряла возможность резолвить доменные имена. Те, кто пользовался отечественными DNS-серверами, продолжили работать без перебоев.

Продолжение ниже

Для отражения атаки были задействованы все уровни защиты, предусмотренные нашей системой обеспечения безопасности. В первую очередь сработала система мониторинга, настроенная на автоматическое оповещение при превышении среднего уровня трафика. Дежурная смена мгновенно получила уведомление, а профильные специалисты подтвердили DDoS в течение нескольких минут. Параллельно сетевые инженеры активировали фильтрацию трафика у магистральных операторов, которая эффективно нейтрализует атаки на уровнях L3-L4. Однако этот метод не работает против атак прикладного уровня, где трафик выглядит нормальным.

Клиенты, чьи ресурсы были защищены через наш Anti-DDoS, не ощутили инцидента вовсе. Их трафик проходил фильтрацию и поступал в их облачные системы уже очищенным.

Согласно итоговому анализу, 90% вредоносного трафика поступало из-за рубежа, оставшаяся часть — из России. Поток генерировался ботнетом, состоящим из тысяч зараженных IoT-устройств — роутеров, камер, бытовой техники. По паттернам активности мы предположили, что за атакой стоит известная группа хактивистов, ранее действовавшая против российских банков, телеком-операторов и ИТ-компаний. Их типичный почерк — одновременные атаки на множество IP-адресов, использование поддельных заголовков и динамических источников трафика.

По итогам инцидента мы перепроверили защиту всех критичных сервисов, расширили каналы связи и начали активное резервирование VPN-доступов с адресами вне основных диапазонов. Кроме того, мы внедрили дополнительные фильтры на уровне приложений и усилили взаимодействие между SOC и сетевой командой.

Какие еще уроки мы вынесли из атаки? Первый очевиден: DDoS-защита должна быть неотъемлемой частью стратегии киберустойчивости компании. Только за первую половину 2025 года в России зафиксировано свыше 63 тыс. кибератак — на треть больше, чем годом ранее. Общее количество DDoS-инцидентов выросло на 60%, и эта тенденция сохраняется. Хакеры применяют искусственный интеллект и автоматизацию для масштабирования атак, комбинируют разные техники, чтобы обойти фильтрацию. Стоимость организации DDoS для злоумышленников минимальна — речь идет о десятках долларов, при этом ущерб для бизнеса может достигать миллионов рублей за каждый час простоя. Это дисбаланс, который невозможно игнорировать.

Второй урок касается зависимости от внешних сервисов. Использование исключительно зарубежных DNS или маршрутизации создает точки отказа, которые проявляются именно в кризис. После атаки мы внедрили механизмы многоуровневого DNS и резервных каналов к российским провайдерам, которые обеспечивают стабильность даже при потере связности с отдельными зарубежными сегментами.

Третий урок связан с организационным аспектом. Качество реагирования определяется в том числе слаженной коммуникацией. Мы внедрили сценарии быстрого реагирования между центром мониторинга, сетевой и эксплуатационной командами. Теперь инциденты классифицируются и отрабатываются по заранее утвержденным планам — это сокращает время реагирования с часов до минут.

Четвертый урок — постоянная тренировка. Мы начали регулярно проводить учения по отработке внештатных ситуаций и проверять готовность команды в условиях, приближенных к реальным. Благодаря культуре готовности каждый инженер понимает, как действовать при атаке и какие решения принимать.

И главное, что важно понимать, для бизнеса защита от DDoS — это критически важная часть устойчивой модели управления рисками. Стоимость часа недоступности облачных сервисов для крупного клиента может достигать десятков миллионов рублей, и это не считая репутационных потерь. Базовая Anti-DDoS-защита стоит в разы меньше, а ее внедрение занимает от нескольких часов до суток. Экономический эффект очевиден: инвестиции в защиту всегда ниже стоимости инцидента.

Однако многие компании продолжают реагировать постфактум. Защита появляется только после первой атаки, когда бизнес уже понес убытки. Мы убеждены, что превентивный подход должен стать нормой. Особенно для отраслей с высокой зависимостью от онлайн-доступа — финансов, ритейла, логистики, телекома, медицины. Сегодня мы не только защищаем собственную инфраструктуру, но и предоставляем клиентам комплексную защиту как услугу. Сервисная модель позволяет бизнесу получать высокий уровень информационной безопасности без капитальных вложений.

Кибератака, с которой началась история, не стала форс-мажором. Она стала проверкой зрелости инфраструктуры и команды. Мы сделали главный вывод: обеспечение устойчивости — это постоянный процесс, который объединяет технологии, архитектуру, силы, процессы и культуру безопасности. DDoS-атака подтвердила, что готовность к любому сценарию — это конкурентное преимущество. И именно оно определяет, кто останется в строю, когда произойдет следующая атака.