Вие да мълчите: DDoS атаката срещу "Капитал" и "Дневник"

Кибер атаката съвпада по време с опити да бъдат свалени сайтовете на държавни и финансови институции, както и подобни нападения срещу Украйна и Полша

Времето на атаката срещу "Капитал", "Дневник" и държавните институции съвпада с още по-голям сюжет - кибернапрежението между Русия, от една страна, и Украйна и Полша, от друга
Времето на атаката срещу "Капитал", "Дневник" и държавните институции съвпада с още по-голям сюжет - кибернапрежението между Русия, от една страна, и Украйна и Полша, от друга
Времето на атаката срещу "Капитал", "Дневник" и държавните институции съвпада с още по-голям сюжет - кибернапрежението между Русия, от една страна, и Украйна и Полша, от друга    ©  Shutterstock
Времето на атаката срещу "Капитал", "Дневник" и държавните институции съвпада с още по-голям сюжет - кибернапрежението между Русия, от една страна, и Украйна и Полша, от друга    ©  Shutterstock

Редовните читатели на "Капитал" и "Дневник" сигурно са забелязали - миналата седмица от сряда вечерта до уикенда достъпът до двата сайта беше по-труден. По няколко пъти на ден за по половин-един час двете медии не бяха достъпни онлайн. Причината беше масирана и злонамерена атака, насочена специално към "Капитал" и "Дневник".

В крайна сметка, макар и да отне няколко дни, атаките бяха отразени. Причината да опишем тази история са съмненията, че проблемите на "Капитал" и "Дневник" бяха част от много по-голям сюжет, както и да кажем ясно основната поука от нея. Киберсигурността не е абстрактно понятие, а задача, която трябва да е много напред в to-do списъка на всеки мениджър. Той/тя може да инвестира време и пари в тази посока превантивно или да научи урока си по много труден начин.

На ниво държава рискът е дори по-голям. Кибератаките ще имат важна роля в бъдещите войни. Всъщност те вече са част от геополитическите противопоставяния, защото дават възможност да се подсилват ефектите от информационните конфронтации, като засилват усещането за недоверие в държавните институции и заплашват със създаване на хаос чрез спиране на различни услуги - държавни, финансови и инфраструктурни (например електро- и топлоснабдяване).

Масирана атака

Трудно е да се докаже със сигурност, че атаката срещу "Капитал" и "Дневник" е била част от по-голям сценарий. Единственото доказателство е съвпадението във времето. Когато тя се случва, според различни източници от администрацията започва и масирана атака срещу няколко държавни и финансови институции - БОРИКА, регистъра Булстат и сайтове като този на парламента. Те са отразени успешно с изключение на тази срещу сайта на парламента, който за известно време е недостъпен.

Методите на атаките срещу "Капитал" и "Дневник", от една страна, и другите институции се различават, но целта им е една и съща - услугите, които се предлагат от тях, да станат недостъпни. Това, че начините са различни обаче, не означава със сигурност, че атаките идват от различни места. Защитите на тези сайтове също са различават и това може да обяснява методите.

Проблемът е случая е, че това може да е едновременна атака срещу държавни институции, финансова система и медии. Макар и малка по обем, тя носи класическите признаци на политически мотивиран опит за дестабилизация. Или ако не опит, то поне за тренировка в тази посока. През последните седмици атаки, подобни на тази срещу "Капитал" и "Дневник", са извършени и срещу други сайтове, които претендират да са медии - "Труд", "Пик" и "Афера".

Съвпаденията обаче не са само дотук. Времето на атаката срещу "Капитал", "Дневник" и държавните институции съвпада с още по-голям сюжет - кибернапрежението между Русия, от една страна, и Украйна и Полша, от друга.

Не само в България

При случая в Украйна официалните власти в Киев обявиха, че разполагат с доказателства, че Русия е отговорна за последната масирана кибератака, извършена срещу основни правителствени сайтове. Миналия четвъртък вечерта над 70 интернет страници на официални институции в страната се оказаха хакнати, включително тези на съветите по национална сигурност и отбрана, както и на външното министерство. "Украинци! Всички ваши лични данни са качени в публично достъпната мрежа. Всички данни на компютъра са разрушени и не могат да се възстановят. Цялата информация за вас вече е публично достъпна, страхувайте се и очаквайте най-лошото. Това е вашето минало, настояще и бъдеще", гласеше посланието, качено на хакнатите сайтове.

На следващия ден в официалния блог на софтуерния гигант Microsoft излезе публикация във връзка с кибератаката, според която в системите на няколко украински правителствени агенции и организации е открит разрушителен "вредителски софтуер" (т.нар. Malware). Негови жертви са се оказали структури от критична важност за изпълнителната власт, както и за реакция при извънредни ситуации, съобщават от софтуерния гигант, без да дават повече подробности точно кои са те. Също така поразена се е оказала и технологична фирма, която управлява уебсайтовете за обществения и частния сектор.

"Всички доказателства сочат, че Русия стои зад кибератаката", коментираха от Министерството за дигитално развитие на Украйна ден след публикацията на щатската софтуерна корпорация. Според службите за сигурност в Киев следите водят до хакерска група, свързана с разузнаването на Беларус, но използва вредителски софтуер, подобен на прилаганите на хакерите към руските специални служби. Олех Деревианко, който е украински експерт по корпоративна киберсигурност, коментира пред Associated Press, че пробивът в правителствената мрежа е направен през споделен доставчик на софтуерни услуги и ситуацията много наподобява на онлайн атаката срещу американската компания SolarWinds ot 2020 г., зад която според САЩ се крие кибершпионска операция на Кремъл.

Кибер напрежението миналата седмица не беше само в Украйна. Полша започна четвъртъка също с новината за гигантско изтичане на данни от армията. Базата с абсолютно всички военни ресурси - от най-малките болтчета, през компютри до противотанкови ракети и изтребители F-16 беше публикувана онлайн.

Какво точно са DDoS атаките

Опитите срещу "Капитал" и "Дневник" носят белезите на тъй наречените DDoS атаки (Distributed Denial of Service Attack). При този тип кибер пробив, атаките към сървъри, приложения и/или мрежови капацитет са разпределени, т.е. идват от множество източници по света. Така чрез пренатоварване се компрометират системите на бизнес организациите пред техни клиенти и партньори и често могат да причинят пълно отпадане на мрежовата им инфраструктура и интернет сайтове, а това води до загуба и на приходи, и на имидж, коментират в свой анализ от платформата Digitalk, част от "Икономедиа".

"В последните години световният тренд е към увеличаване на честотата и силата на DDoS атаките и България не прави изключение от тази тенденция", коментира пред медията Михаил Семерджиев, старши мениджър "ICT услуги" в "А1 България". Той дава пример с това, че в мрежовия оперативен център на А1 (NOC) колегите му забелязват такива атаки почти ежедневно. "Големите като обем, и съответно сила, атаки, които затрудняват нашата инфраструктура, се случват по-рядко, около 3-4 пъти месечно. На дневна база се засичат по 5-6 атаки с по-малък капацитет", добавя той.

Как работят DDoS атаките

"DDoS или "отказ на услуга" е атака, която забавя или напълно преустановява достъпа до предлаганата интернет услуга чрез препълване на комуникационния канал с информация. Така обслужващият сървър не може да отговори на всички заявки до него или отговаря с голямо закъснение. Обикновено този тип атака първо се забелязва при доставчика на комуникационния канал като необичайно висок трафик по мрежата към атакувания сървър. Ако атаката е свързана с много заявки към приложението, обслужващо определената електронна услуга, следи от нея може да се открият в дневниците на работата на апликацията", коментира Борислав Сестримски, мениджър "Оценка и гарантиране на сигурността" в технологичната компания DIGITALL.

За да стартират DDoS атака, нападателите разчитат на зловреден код или се възползват от уязвимости в сигурността, за да получат контрол над такива уязвими машини и устройства, включително IoT устройства като уеб камери, принтери и др. Всички тези заразени устройства (наричани често "зомбита"), могат да бъдат включени в DDoS атаки, като армията от ботмрежи може да активира десетки, дори стотици хиляди "зомбита".

"DDoS атаките представляват синхронизиран о и едновременно генериране на IP пакети от множество клиентски машини, обединени в BotNet мрежа, под общ контрол. Броят на заразените машини, част от бот мрежи под единно управление, може да бъде от няколко десетки до стотици хиляди. В някои случаи те могат да са и много повече. Те са способни в даден момент едновременно да изпращат заявки от всякакъв тип трафик към посочен сървър или набор от сървъри. Целта най-често е да се предизвика отказ на определени услуги, да се изведат ИТ системи от нормален режим на експлоатация, или да се запълни капацитетът на мрежови канали. Възможни са и много други злонамерени цели", обяснява и Михаил Семерджиев от "А1 България".

Защо и кого атакуват най-често

Причините за стартиране на DDoS атаки срещу компании и правителствени организации са различни, но най-честите са хакерски атаки, мотивирани от политически и социални причини, опити за привличане на клиенти от конкурентен бизнес. Вече има и т.нар. държавно спонсорирани атаки, стремящи се да доведат до икономически и социални трусове, казват от Digitalk . Често се случва DDoS атаката да бъде използвана като вид димна завеса, която да прикрие по-вредна и по-усъвършенствана атака за кражба на данни, средства и др. Засилва се и тенденцията за искане на откуп за спиране на този тип атака, вариант, подобен на атаките с криптовируси, при които се заключват с непробиваем код важни данни на атакуваната организация.

"DDoS атаките бързо се превръщат в най-разпространения тип киберзаплаха, като нарастват бързо през последните години както по брой, така и по обем. Тенденцията е към по-кратка продължителност на атаката, но по-голям обем по отношението на броя пакети в секунда, заявява Семерджиев от А1.

Цените, на които може да се поръча атака, варират между 15 и 1000 долара в зависимост от това колко защитен е уебсайтът, каква е честотата на заявките за секунда и за колко дълъг период трябва да бъде поддържана атаката (час, ден, седмица или месец). Това показват данните от Dark Web Price Index 2021, публикуван в Privacy Affairs.

Как да се предпазим

DDoS атаките са основната причина една организация да остане офлайн от няколко часа до няколко дни, а в някои случаи със седмици могат да продължават временни прекъсвания, казват от Digitalk. Ако подобен тип заплаха не бъде предотвратена, тя може да засегне бизнеса по няколко ключови начина.

"Предварителните мерки за предпазване от кибератаки са от огромна важност, тъй като те могат да засегнат организации от всякакви индустрии и мащаб и да имат опустошителен ефект. Затова винаги съветваме клиентите си да инвестират в превенция и имаме редица услуги, с които предлагаме решения за такъв род заплахи, смята Семерджиев. - Необходимо е застрашените организации да имплементират DDoS защита чрез мрежова услуга, която извършва предварителна проверка на трафика по редица критерии, заложени в логиката на услугата. По този начин се пропуска само легитимният трафик към мрежата на клиента, а нетипичният и потенциално опасен трафик се филтрира. За да се активира услугата, е необходимо трафикът да се пренасочи през специална платформа, т.нар. scrubbing center, в която се извършва филтрирането.

"Най-популярният начин за предпазване на критичната инфраструктура е гарантирането на скалируемост на хардуерните и мрежовите ресурси. Това се постига изключително лесно в облачните технологии. Поради тази причина услугите, предоставяни чрез облачни технологии, са много по-устойчиви на DDoS атаки", твърди и Борислав Сестримски. Според него защитата е свързана с подсигуряването на мрежов и апликационен ресурс, който може да абсорбира атаката и да продължи да работи пълнофункционално. "Методите за всяка DDoS атака са различни и може да включват филтриране на трафика, ограничаване на цели зони за достъп, пренасочване на трафика, скалиране на апликационните ресурси и др.", коментира Сестримски от DIGITALL.