fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 2)

Новина

Дослідницька security-група A10 Networks активно відстежує атаки на українські системи.


У попередній статті цієї серії ми розглянули розвіддані від компанії А10, що дають змогу осягнути характер фінансованих російським урядом, свіжих кіберзлочинів, спрямованих на українські цілі. Масовий сплеск атак на українські державні системи припав на перший же день російсько-української війни.


Пригадаємо дві основні цілі, на які була спрямована російська скоординована DDoS-атака відбиття/посилення (DDoS Amplification and Reflection Attacks):

  • ПП "Інфосервіс-Лінк" з понад двома мільйонами запитів на Apple Remote Desktop (ARD). Ця ціль належить до блоку IP-адрес 194.79.8.0, підв'язаних своєю геолокацією до одного з найбільших міст України – Харкова. Водночас інформація whois ідентифікує її як Сєвєродонецьк, Луганська область, Україна, Луганськ.
  • Секретаріат Кабінету Міністрів України – понад 600 000 запитів до Network Time Protocol (NTP).


Вивчаючи ці атаки, бачимо, що вони були схожими між собою, але не ідентичними. Наприклад, друга атака була спрямована на запит до протоколу мережевого часу (NTP) для здійснення DDoS-атаки посилення та відбиття на UDP-порту 123, що є досить поширеним явищем, тоді як перша атака мала в собі запити до менш поширеного протоколу Apple Remote Desktop (ARD) на UDP-порту 3,283.


Рисунок 1: Протоколи, спрямовані на українські зареєстровані ASN за протоколом UDP 24 лютого 2022 року на єдиний honeypot. Відповідно, ARD, NTP і CLDAP є найбільш запитуваними. Протягом наступних шести днів NTP став найбільшим протоколом, що спостерігається на цьому ж honeypot після сплеску активності під час першого дня війни


Оскільки йдеться про порти UDP, вони не мають з'єднання (на відміну від TCP, орієнтованого на з'єднання), що дозволяє підмінити адресу джерела, маскуючи запитувача і, водночас, відображаючи відповідь призначеній жертві, що отримує велике, посилене корисне навантаження. Саме тому зловмисники надають перевагу техніці посилення та відбиття.


ARD, наприклад, може мати коефіцієнт посилення, що у 34 рази перевищує вихідний запит. Для атаки ARD на першу ціль, за оцінками A10 Networks, більшість пакетів, на які надходив запит, були розміром 370 байт (70%). Однак, враховуючи велику кількість пакетів розміром 1014 байт (23%), ми можемо вирахувати середнє значення ~500 байт. Якщо помножити 500 байт на 2099092 запита, то вийде 1049546000 байт, або трохи більше 1 гігабайта, і всі вони були запрошені з однієї машини.


У звіті "A10 DDoS Attack Mitigation: A Threat Intelligence Report", жоден з цих протоколів не входить до п'ятірки лідерів. Згідно з дослідженнями, існує 30622 одиниць потенційної DDoS-зброї для ARD, які відстежуються компанією A10. Використання лише 10 відсотків їх теоретично може згенерувати 3,2 терабайта трафіку, а використання 50 відсотків - 16 терабайт.

Рисунок 2: Топ-10 локалізацій ARD UDP потенційної DDoS-зброї, яку відстежує A10 (за країнами та загалом)


Порівнюючи протокол ARD, ідентифікований проти першої мети кібератаки, бачимо, що існує 30 622 одиниць зброї, відстежуваної A10, 18 290 (59%) з якої перебуває в США. І хоча така зброя не є рідкістю, це наочно ілюструє, що ІТ-підрозділи за межами країн, що воюють, можуть бути активно залучені до кіберконфліктів. Якщо вжити відповідних заходів, ці підрозділи можуть безпосередньо допомогти мінімізувати збитки, завдані Україні. Аналізований нами honeypot базувався у США.


Як зазначено вище, два приклади атак, здійснених 24 лютого, були надзвичайно масштабними. Однак, спостерігається постійне зростання кількості більш дрібних атак на українські цілі з використанням різних протоколів UDP. Поєднання цих протоколів змінювалося з часом. Першого дня домінував ARD, а наступні шість днів - NTP. Спираючись на ці факти, власникам необхідно регулярно стежити за тим, щоб їх системи не допомагали російським зловмисникам здійснювати кібератаки та іншу дистабілізуючу незаконну діяльність, спрямовану на українські цілі.


Дізнайтеся більше про компанію А10 Networks та її високоефективні рішення,

Далі буде. Слідкуйте за оновленнями, щоб не пропустити третьої частини серії статей від iIT Distribution та A10 Networks!

Назад

Mobile Marketing
+