«Это не атака «подростков с ноутбуками»»: четвертый день поступают жалобы на доступ к сайту Роскомнадзора

Четвертый день пользователи сообщают о невозможности подключиться к сайту Роскомнадзора. Только за последние сутки поступило более 3 тысяч жалоб, 263 из них — за последний час, следует из данных detector404. При этом сервис перестал отображать города, из которых поступают жалобы на доступ к сайту, также исчезла информация о сетевых сбоях.

SecPost убедился, что сайт Роскомнадзора доступен в Москве и Ростовской области. Однако по данным на 12:30 жалобы поступали из 33 городов России, включая столицу, Санкт-Петербург, Ростов-на-Дону, Екатеринбург и Владивосток.

SecPost обращался в пресс-службу Роскомнадзора с запросом информации об атаке. На момент выхода материала ответ не поступил.

Сбой сайта Роскомнадзора произошел в минувшую пятницу утром 27 февраля. К вечеру Центр мониторинга и управления сетью связи общего пользования заявил, что зафиксировал распределенную DDoS-атаку на информационные ресурсы Роскомнадзора. Атака также была направлена на ресурсы Министерства обороны РФ и инфраструктуру ФГУП «ГРЧЦ». Сообщалось, что атакующие серверы и ботнеты расположены преимущественно в России, а также в США, Китае, Великобритании и Нидерландах. Отмечалось, что атака продолжалась.

В РКН также заявили, что мощность атаки составляла 33 Гбит/с и 36,9 млн пакетов в секунду. По мнению основателя компании «Интернет-Розыска» и члена Координационного совета негосударственной сферы безопасности (КС НСБ России) Игоря Бедерова, эти цифры говорят о многом.

«Это не атака «подростков с ноутбуками». Такая пакетная мощность (огромное количество мелких запросов в секунду) направлена на исчерпание ресурсов сетевого оборудования и ядер процессоров серверов», — отметил Бедеров.

Он также подчеркнул, что выбор целей для атаки указывает на спланированную акцию — злоумышленники, скорее всего, рассчитывали на дестабилизацию работы ключевых узлов управления телекоммуникационной и оборонной сферой. Бедеров отмечает, что восстановление доступа к сайту — безусловно хорошая новость, но необходимо пояснение, поскольку восстановление доступа заняло четверо суток.

«Когда специалисты говорят, что «вредоносный трафик отделён и направлен на сервера очистки», это означает, что трафик был перенаправлен через специализированные фильтрующие центры (скрубберы). Обычно это занимает минуты или часы, но не дни. Подобная задержка может говорить о том, что атака носила каскадный характер», — отмечает Бедеров.

Вполне вероятны и другие варианты: атака могла поразить не только периметр, но и часть инфраструктуры. Впрочем, не стоит сбрасывать со счетов мощность и распределенность атакующего ботнета.

Бедеров отмечает: для пользователей эта атака не несет угрозы утечки персональных данных, но есть косвенные риски — задержки в работе сервисов, а также «сигнал для подражателей-хактивистов».

«Нужно понять слабые места. Почему система фильтрации не справилась? Если мощности не хватает сейчас, её необходимо наращивать с учетом прогноза по росту числа устройств в ботнетах. Рынку важно знать, как распознать подобный вектор атаки. Закрытость информации оставляет операторов связи в неведении», — отмечает Бедеров.

Эксперт в области информационной безопасности и ведущий специалист отдела исследовательских разработок компании «Стахановец» Алексей Миронов также отметил, что четырехдневная недоступность сайта говорит о системном характере проблемы.

«У любого ведомства такого уровня должна быть резервная площадка с возможностью быстрого переключения трафика. Отсутствие такого переключения означает, что либо сбой затронул все каналы и мощности одновременно, либо резервные механизмы не сработали должным образом», — предполагает Миронов.

Миронов отмечает, что существенной проблемой остается нехватка официальной информации. Чтобы снизить градус напряжения и пресечь слухи, РКН достаточно было бы выйти с коротким сообщением о том, что ведутся работы, а причины выясняются, считает эксперт.

«Но пока тишина только подливает масла в огонь и заставляет думать, что ситуация серьезнее, чем кажется», — говорит эксперт.

Руководитель команды сопровождения сервисов ИБ Ngenix Илья Самылов отмечает, что причина инцидента станет ясна только после публикации технического постмортема. Все до этого — лишь гипотезы. Но, как отмечает Самылов, сейчас наблюдается устойчивый тренд на рост мощности и доступности DDoS-атак. Существенно повлияло сокращение порога — атаки типа Rapid Reset позволяют генерировать огромный объём HTTP-запросов при минимальных ресурсах атакующего, а аренда ботнетов в даркнете за последние пару лет существенно подешевела. Другой фактор — используемая модель атаки.

«Если инцидент длится несколько суток, это часто говорит об адаптивной модели атаки: сначала идет волюметрика (L3–L4), затем злоумышленники переходят на уровень приложений (L7), потом снова происходит смена источников и тактик», — отмечает эксперт.

Самылов говорит, что при такой атаке автоматическая фильтрация не всегда справляется без ручной донастройки.

«Сегодня эффективная защита от DDoS-атак строится на комплексе мер: геофильтрация, anycast для распределения нагрузки, использование специализированных решений для митигации. А самое главное — это отделить публичный сайт от критической инфраструктуры заранее, а не в момент атаки», — считает Самылов.