Как не стать «непроизвольным сообщником» российских кибератак на украинские системы (часть 2)
Исследовательская security-группа A10 Networks активно отслеживает атаки на украинские системы
В предыдущей статье этой серии мы рассмотрели разведданные от компании А10, позволяющие понять характер финансируемых российским правительством свежих киберпреступлений, направленных на украинские цели. Массовый всплеск атак на украинские государственные системы пришелся на первый же день российско-украинской войны.
Напомним две основные цели, на которые была направлена российская скоординированная DDoS-атакаотражения/усиления (DDoS Amplification and Reflection Attacks):
- ПП «Инфосервис-Линк» с более чем двумя миллионами запросов на Apple Remote Desktop (ARD). Эта цель входит в блок IP-адресов 194.79.8.0, подвязанных своей геолокацией к одному из крупнейших городов Украины – Харькову. В то же время, информация whois идентифицирует ее как Северодонецк, Луганская область, Украина, Луганск.
- Секретариат Кабинета Министров Украины – более 600 000 запросов к NetworkTimeProtocol (NTP).
Изучая эти атаки, мы видим, что они были схожими, но не идентичными. Например, вторая цель была направлена на запрос протокола сетевого времени (NTP) для DDoS-атаки усиления и отражения на UDP-порту 123, что является довольно распространенным явлением, в то время как первая цель имела запросы к менее распространенному протоколу Apple Remote Desktop (ARD) на UDP-порту 3,283.
Рисунок 1: Протоколы, направленные на украинские зарегистрированные ASN по протоколу UDP 24 февраля 2022 года на единственный honeypot. Соответсвенно, ARD, NTP и CLDAP являются самыми запрашиваемыми. В течение следующих шести дней NTP стал самым крупным протоколом, наблюдаемым на этом же honeypot после всплеска активности во время первого дня войны
Поскольку речь идет о портах UDP, они не имеют соединения (в отличие от TCP, ориентированного на соединение), что позволяет подменить адрес источника, маскируя запрашивающего и, в то же время, отражая ответ назначенной жертве, получающей большую, усиленную полезную нагрузку. Именно поэтому злоумышленники предпочитают техники усиления и отражения.
ARD, например, может иметь коэффициент усиления, более чем в 34 раза превышающий исходный запрос. Для атаки ARD на первую цель, по оценкам A10 Networks, большинство запрашиваемых пакетов составляли 370 байт (70%). Однако, учитывая большое количество пакетов размером 1 014 байт (23%), мы можем вычислить среднее значение в ~500 байт. Если умножить 500 байт на 2 099 092 запроса, то получится 1049546000 байтили чуть больше 1 гигабайта, и все они были запрошены с одной машины.
В отчете «A10 DDoS Attack Mitigation: A Threat Intelligence Report», ни один из этих протоколов не входит в пятерку лидеров. Согласно исследованиям, существует 30 622 единиц потенциального DDoS-оружия для ARD, которые отслеживает A10. Использование только 10 процентов из них теоретически может сгенерировать 3,2 терабайта трафика, а использование 50 процентов — 16 терабайт трафика.
Рисунок 2: Топ-10 локализаций ARD UDP потенциального DDoS-оружия, которое отслеживает A10, по странам и в целом
Сравнивая протокол ARD, идентифицированный против первой цели кибератаки, мы видим, что существует 30 622 единиц оружия, отслеживаемых A10, но 18 290 (59%) находятся в США. Хотя такого оружия много, это наглядно иллюстрирует, что ИТ-подразделения за пределами воюющих стран могут быть активно вовлечены в киберконфликты. Если принять меры, эти организации могут напрямую помочь минимизировать ущерб, нанесенный Украине. Анализируемый нами honeypot базировался в США.
Как указано выше, два примера, освещенные 24 февраля, были чрезвычайно масштабными. Однако мы наблюдаем постоянный рост числа более мелких атак на цели в Украине с использованием различных протоколов UDP. Сочетание этих протоколов менялось с течением времени. В первый день доминировал ARD, а в последующие шесть дней — NTP. Таким образом, владельцам необходимо следить за тем, чтобы их системы не использовались для осуществления русских кибератак и незаконной деятельности, направленой на украинские цели.
Узнайте больше о компании A10 Networks и его высокоэффективные решения.
Продолжение следует. Следите за обновлениями, чтобы не пропустить третью часть серии статей от iIT Distribution и A10 Networks!