Крупнейшая в истории атака на Яндекс

Кто «наехал» на самый крупный российский поисковый агрегатор, почему он устоял, а пользователи ничего не заметили

Крупнейшая в истории атака на Яндекс

На прошлых выходных «Яндекс» подвергся масштабной DDoS-атаке — самой крупной в истории всего интернета, если верить самой компании. За атакой стоит новый загадочный ботнет, а эксперты бьют тревогу, потому что в нападении на «Яндекс» были задействованы еще не все его мощности.

Разобрались, как так вышло, что «самую большую DDoS-атаку в истории» практически никто не заметил, стоит ли ждать новых атак в России и что будет, если авторы нового ботнета начнут всерьез атаковать компании поменьше.

Что случилось

На прошлых выходных «Яндекс» пережил мощную DDoS-атаку на свои сервисы. Впервые об этом вчера написали «Ведомости» со ссылкой на источники внутри компании. Тогда официальный представитель компании сообщил, что кибератака не повлияла на работу сервисов, но источник издания говорил, что российский IT-гигант с трудом ее сдержал. Сегодня сам «Яндекс» вместе с компанией Qrator Labs выпустил пространное объяснение по поводу случившегося.

По итогам расследования, результаты которого опубликованы в блоге компании на Habr, «Яндекс» заявил, что речь идет о крупнейшей DDoS-атаке за всю историю глобального интернета. «Но это лишь одна из множества атак, направленных не только на “Яндекс”, но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник — новый ботнет, о котором пока мало что известно», — говорится в заявлении.

Действительно ли атака — крупнейшая в истории?

Да, но, если быть точнее, речь идет о конкретном параметре — числе запросов, которые атакующая сторона отправляла в секунду. DDoS-атаки также измеряют, например, в длительности, а еще, в зависимости от типа самой атаки, — в битах в секунду, пакетах в секунду или запросах в секунду (это наш случай). Измерения масштабов отличаются, потому что отличаются сами DDoS-атаки, глобально они делятся на два типа: первый — более популярный в последние годы — атака на канал, когда, чтобы лишить пользователя доступа к интернету, ему на весь объем канала «наливают» мусор. Второй тип — атаки на приложения, когда «зомбированные» устройства из ботнета атакуют конкретный сервис. Как раз такого типа и была атака на «Яндекс».

В ее случае показатель запросов в секунду превысил 21 млн. И это — самая большая цифра за историю интернета. По крайней мере из тех, о которых стало известно публично, говорит независимый IT-эксперт Григорий Бакунов (раньше был топ-менеджером «Яндекса»). Предыдущий рекорд, скорее всего, принадлежал тем же самым авторам, о нем 19 августа в своем блоге написала Cloudflare. Тогда компания зафиксировала атаку с 28 тысяч устройств мощностью в 17,2 млн запросов в секунду. Для сравнения, еще год назад число запросов в секунду у крупнейших DDoS-атак не превышало миллиона, говорит директор по безопасности «Яндекса» Антон Карпов.

Если говорить о масштабах атаки, она могла быть довольно большой, но если речь об ущербе, то назвать ее крупнейшей в истории нельзя, учитывая, что от нее явно никто не пострадал, говорит эксперт по кибербезопасности Алексей Лукацкий. Компания атаку успешно отбила, а пользователи практически не заметили ее воздействия.

Кто и зачем атаковал «Яндекс»?

Кто стоит за атакой на российскую компанию — неизвестно, но «Яндекс» далеко не единственная возможная цель нового ботнета, утверждают авторы расследования. «В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой Зеландии, США и России», — пишет компания.

За атакой стоит новый загадочный ботнет, а эксперты бьют тревогу, потому что в нападении на «Яндекс» были задействованы еще не все его мощности.

За всеми атаками, скорее всего, стоит новый ботнет. Его название — Mēris, с латышского это переводится как «чума» (его придумали в Qrator Labs). Новый он, потому что, в отличие от существующих раньше ботнетов, объединил в себе только роутеры небольшой латвийской компании Mikrotik, которая делает недорогое, но достаточно мощное сетевое оборудование, продающееся во многих странах.

«Кто-то — мы не знаем кто — нашел уязвимость — какую, мы тоже пока не знаем — в роутере и, скорее всего, продал ее людям, занимающимся DDoS-атаками», — в разговоре с The Bell объяснил Антон Карпов из «Яндекса». Такие уязвимости продаются и покупаются на черном рынке. Как пример, стоимость уязвимости в iPhone может достигать $5 млн, говорит он.

Почему самая крупная атака пришлась именно на «Яндекс» — неизвестно, здесь можно строить только теории. Больше того, само поведение организаторов этих атак — загадочное, говорит Карпов: обычно ботнеты годами живут в тени, набирают силу, а потом точечно по тарифу атакуют компании. А Mēris за последние пару месяцев совершил атаки в самых разных частях мира и без очевидной цели. «“Яндекс” — не банк, и финансовой выгоды атаковать нас нет, плюс мы — большая компания, и атаковать нас технически сложно. А во время атаки нападающий сразу раскрывает свой ботнет, и после этого с ним начинают бороться», — недоумевает он.

То, с чем столкнулся «Яндекс», — это, скорее всего, не полная мощность ботнета, а только демонстрация силы, говорит Бакунов. «Яндекс» под этим натиском выжил, но он очень большой и хорошо защищен. Практически любой другой из российских игроков, скорее всего, закончит плохо и под таким натиском выйдет из строя. Обычно такие атаки делают, чтобы продемонстрировать силу. «О том, что случилось, все написали, а теперь владелец ботнета может приходить к потенциальным клиентам и предлагать за деньги атаковать конкурента. То есть есть это просто реклама возможностей», — считает он. А учитывая, что и «Яндекс», и Qrator Lab — известные эксперты по таким атакам в России и Европе — атаку признали, то организаторы получили не только хороший пиар, но и своего рода знак качества, считает эксперт.

Почему «Яндекс» устоял, а пользователи ничего не заметили?

По словам самой компании, дело в инфраструктуре. Во-первых, у компании достаточно распределенная инфраструктура и большой запас мощностей, говорит Карпов: «Мы большие, и нас тяжело атаковать». Во-вторых, «Яндекс» может быстро масштабироваться горизонтально: если какому-то сервису нужно нарастить мощности, он может быстро это сделать. В-третьих, у компании есть свой антиробот, это программа, которая умеет определять, пришел ли запрос от пользователя или от робота, — и отсекает лишнее. «Из-за этого нам не пришлось банить IP-адреса роутеров, если бы это случилось, то их владельцы (обычные пользователи, которые могут даже не знать, что их устройство заражено) тоже бы потеряли доступ к сервисам “Яндекса”», — говорит Карпов.

Если бы атаке такого масштаба подверглась другая российская компания, результат мог бы быть более серьезным, считают эксперты. «Интернет-компания по определению должна быть готова к такого рода проблемам. Если бы под атакой оказался, например, банк, скорее всего, эффект был бы другим. Хотя стоит сказать, что российские банки и так недавно подвергались DDoS-атакам, но большого урона не понесли», — говорил Алексей Лукацкий.

Что будет дальше?

Сейчас на проблему появления нового ботнета обратили широкое внимание. Теперь Mikrotik, которая пока еще не признала эту новую уязвимость (компания заявила, что во взломе задействована уязвимость 2018 года, которую уже устранили, но не все пользователи поставили обновления. — Прим. ред.), скорее всего, выпустит обновление, которое замедлит распространение заражений, говорит Карпов из «Яндекса». «Параллельно в игру вступят организации, которые расследуют такие взломы, они будут искать управляющий сервер. Но найдут ли того, кто за этим стоит, — не ясно, такое случается довольно редко», — объясняет он.

Официальный представитель компании сообщил, что кибератака не повлияла на работу сервисов

Быстро решить проблему не выйдет, уверены эксперты. До сих пор никто не знает, через какую уязвимость ботнет расширяется, говорит Бакунов. «Сам Mikrotik, производитель роутеров, не сможет с этим ничего сделать: все зараженные устройства находятся у пользователей по всему миру. Что они смогут — это найти несколько зараженных устройств и провести исследование, но вряд ли это даст быстрые результаты, иначе “Яндекс” и Qrator уже и сами бы нашли уязвимость», — уверен он.

А пока что ботнет, который очень быстро растет, может сильно нарастить мощности и подготовить атаку гораздо большей силы, говорит Карпов: «Цифры сами по себе звучат пугающе: еще год назад фиксировали атаку меньше чем в миллион запросов в секунду, и это было много. А сейчас мы получили атаку в двадцать раз мощнее».

Скорее всего, будущие атаки, которые будут совершены с помощью этого ботнета, мы даже не заметим, объясняет Бакунов. Обычно это работает так: например, один банк заказывает другой. А для того, чтобы среднестатистический банк перестал работать, хватило бы и одной сотой части уже собранного ботнета. Но в публичном поле эти атаки обсуждаться не будут, о них редко становится известно.

Авторов, которые стоят за ботнетом, скорее всего, не найдут: максимум, что смогут сделать органы, — попытаться перехватить управление ботнетом. Но и это сделать будет сложно, потому что у современных ботнетов сложно выявить центр управления, которых может быть больше одного, говорит Лукацкий. Но есть и хорошие новости, считает Бакунов: сама по себе атака, которой подвергся «Яндекс», довольно просто блокируется. Особенно хорошо с этим справляются как раз крупные компании с хорошим уровнем безопасности. «Так что таких игроков, скорее всего, атаковать не будут — возьмутся за тех, кто поменьше и у кого есть проблемы с безопасностью».

Валерия Позычанюк


  • Текст составлен по материалам сети Интернет. Нашими источниками являются крупнейшие интернет-издания и соцсервисы, в том числе которые размещают сведения как о событиях, так и информацию (в т.ч. компромат, скандалы) про политиков, госслужащих и бизнесменов, их биографии, информацию об их деятельности и деятельности подконтрольных им организаций. Подтверждение всем размещенным у нас материалам можно найти в сети.
  • Приглашаем к сотрудничеству по размещению новостей и рекламы всех заинтересованных лиц. Подробнее в разделах РЕКЛАМА и РАЗМЕЩЕНИЕ НОВОСТЕЙ.

Одна из самых крупных в истории нападение на Yandex

 

Кто «наехал» на самый большой российский поисковый агрегатор, почему он устоял, а пользователи ничего не увидели

Одна из самых крупных в истории нападение на Yandex

На прошедших выходных Yandex подвергся масштабной DDoS-атаке — самой большой в истории всего веба, если веровать самой компании. За атакой стоит новый таинственный киберсеть, а специалисты лупят тревогу, так как в нападении на Yandex были использованы еще не все его мощности.

Разобрались, как так получилось, что «наибольшую кибератаку в истории» фактически никто не увидел, стоит ожидать новых нападений в Российской Федерации и что будет, если создатели нового киберсети начнут серьезно штурмовать компании гораздо меньше.

Что произошло

На прошедших выходных Yandex пережил сильную кибератаку на свои сервисы. В первый раз об этом вчера написали «Ведомости» ссылаясь на источники снутри компании. Тогда уполномоченное лицо компании сказал, что хакерская атака не оказала влияние на работу сервисов, но собеседник СМИ рассказывал, что российский IT-великан кое-как её сдержал. Сейчас сам Yandex вместе с компанией Qrator Labs выпустил обширное разъяснение по причине происшедшего.

По результатам расследования, показатели которого размещены в блоге компании на Habr, Yandex сообщил, что идет речь о наикрупнейшей DDoS-атаке на протяжении всей истории глобального веба. «Однако это только одна из огромного количества нападений, которые были направлены не лишь на “Yandex”, да и на почти все остальные компании в мире. Атаки длятся уже несколько недель, их объемы беспримерны, а их источник — новый киберсеть, о котором пока не много что понятно», — сообщается в обращении.

Вправду ли атака — одна из самых крупных в истории?

Да, но, если быть поточнее, идет речь о определенном параметре — числе запросов, которые атакующая сторона высылала за секунду. компьютерные атаки также определяют, к примеру, в продолжительности, а еще, зависимо от типа самой атаки, — в битах за секунду, пакетах за секунду либо запросах за секунду (это наш случай). Измерения размаха различаются, так как различаются сами компьютерные атаки, глобально они делятся на два типа: 1-ый — больше пользующийся популярностью в последние несколько лет — нападение на канал, когда, чтоб лишить пользователя доступа к вебу, ему на весь размер канала «наливают» мусор. 2-ой тип — нападения на приложения, когда «зомбированные» устройства из киберсети штурмуют определенный сервис. Как раз этого типа и была нападение на Yandex.

В её случае показатель запросов за секунду превысил 21 млн. И это — наибольшая цифра за историю веба. По последней мере из числа тех, о которых стало понятно на публике, гласит независимый IT-специалист Григорий Бакунов (ранее был одним из руководителей «Yandex’а»). Предшествующий рекорд, вероятнее всего, принадлежал этим же самым авторам, о нем 19 августа на страницах личного блога написала Cloudflare. Тогда компания зафиксировала атаку с 28 тысяч устройств мощностью в 17,2 млн запросов за секунду. Для сопоставления, еще годом ранее количество запросов за секунду у одних из самых крупных кибератак не превышало миллиона, гласит руководитель по безопасности «Yandex’а» Антон Карпов.

Если разговаривать о масштабах атаки, она могла быть достаточно большой, но если речь об вреде, то назвать её наикрупнейшей в истории нельзя, беря во внимание, что от нее очевидно пострадавших не было, гласит специалист по информационной безопасности Алексей Лукацкий. Компания атаку удачно отбила, а пользователи фактически не увидели её действия.

Кто и для чего штурмовал Yandex?

Кто стоит за нападением на российскую организацию — непонятно, но Yandex далековато не единственная вероятная цель нового киберсети, говорят создатели расследования. «В последние пару недель все мы стали очевидцами губительных кибератак в Новой Зеландии, США и Рф», — сообщает компания.

За атакой стоит новый таинственный киберсеть, а специалисты лупят тревогу, так как в нападении на Yandex были использованы еще не все его мощности.

За всеми атаками, вероятнее всего, стоит новый киберсеть. Его заглавие — Mēris, с латышского это переводится как «чума» (его выдумали в Qrator Labs). Новый он, так как, в отличие от имеющихся ранее киберсетей, соединил внутри себя лишь роутеры маленький латвийской компании Mikrotik, делающ?? дешевое, но довольно массивное сетевое оборудование, продающееся во большом количестве государств.

«Кто-то — нам не известно кто — нашел незащищенность — какую, мы тоже пока не знаем — в роутере и, вероятнее всего, продал её людям, которые занимались кибератаками», — в общении с The Bell объяснил Антон Карпов из «Yandex’а». Подобные незащищенности продаются и покупаются на черном рынке. Как пример, цена незащищенности в Айфон может достигать $5 млн, гласит он.

Почему самая большая атака пришлась конкретно на Yandex — непонятно, тут можно строить лишь теории. Более того, само поведение организаторов этих нападений — таинственное, гласит Карпов: обычно ботнеты годами проживают в тени, набирают силу, а позже точечно по тарифу штурмуют компании. А Mēris за прошедшие два месяца сделал атаки в самых различных частях мира и без тривиальной цели. «“Yandex” — не банк, и денежной выгоды штурмовать нас нет, плюс мы — большая компания, и штурмовать нас на техническом уровне трудно. А в ходе нападения нападающий сходу открывает собственный киберсеть, и после чего с ним начинают биться», — возмущается он.

То, с чем столкнулся Yandex, — это, вероятнее всего, не полная мощность киберсети, а лишь демонстрация силы, гласит Бакунов. Yandex под этим напором выжил, но он чрезвычайно большой и отлично защищен. Фактически хоть какой иной из российских игроков, вероятнее всего, окончит плохо и под таким напором выйдет из строя. Обычно подобные атаки делают, чтоб показать силу. «Про то, что произошло, все написали, а сейчас обладатель киберсети может приходить к возможным клиентам и давать за средства штурмовать соперника. Другими словами есть это просто реклама возможностей», — думает он. А беря во внимание, что и Yandex, и Qrator Lab — популярные специалисты по подобным атакам в Российской Федерации и Европе — атаку признали, то устроители получили не лишь неплохой реклама, да и собственного рода символ качества, уверен специалист.

Почему Yandex устоял, а пользователи ничего не увидели?

Согласно мнению самой компании, дело в комплексу инфраструктурных объектов. Во-1-х, у компании довольно распределенная комплекс инфраструктурных объектов и большой припас мощностей, гласит Карпов: «Мы огромные, и нас трудно штурмовать». Во-2-х, Yandex может стремительно масштабироваться горизонтально: если какому-то сервису необходимо нарастить мощности, он может стремительно это сделать. В-3-х, у компании есть собственный антиробот, это программа, умеющ?? определять, пришел ли запрос от пользователя либо от робота, — и отсекает избыточное. «Поэтому нам не пришлось банить Айпишника роутеров, если б это произошло, то их обладатели (обыденные пользователи, которые могут даже не знать, что их устройство заражено) тоже бы утратили доступ к сервисам “Yandex’а”», — полагает Карпов.

Если б атаке этого масштаба подверглась иная организация из России, итог мог бы быть больше суровым, уверены специалисты. «IT-организация по определению обязана быть готова к этого рода трудностям. Если б под атакой оказался, к примеру, банк, вероятнее всего, эффект был бы иным. Однако стоит сообщить, что финансовые организации России и так не так давно подвергались кибератакам, но огромного урона не понесли», — говорил Алексей Лукацкий.

Что будет далее?

На данный момент на дилемму возникновения нового киберсети направили обширное внимание. Сейчас Mikrotik, которая еще пока не признала эту новую незащищенность (компания сообщила, что во взломе использована незащищенность 2018 года, которую уже убрали, но не все пользователи поставили обновления. — Прим. ред.), вероятнее всего, выпустит обновление, которое замедлит распространение заражений, гласит Карпов из «Yandex’а». «Одновременно в игру вступят организации, расследующ?? подобные взломы, они будут находить управляющий сервер. Однако отыщут ли того, кто за этим стоит, — не понятно, подобное происходит достаточно изредка», — рассказывает он.

Уполномоченное лицо компании сказал, что хакерская атака не оказала влияние на работу сервисов

Стремительно найти решение задачи не выйдет, убеждены специалисты. До настоящего времени никому не известно, через какую незащищенность киберсеть расширяется, гласит Бакунов. «Сам Mikrotik, производитель роутеров, не сумеет с этим ничего сделать: все зараженные устройства находятся у пользователей во всем мире. Что они смогут — это найти несколько зараженных устройств и провести исследование, но навряд ли это даст резвые показатели, по другому “Yandex” и Qrator уже и сами бы обнаружили незащищенность», — сказал он.

А на данный момент киберсеть, который чрезвычайно стремительно вырастает, может очень нарастить мощности и приготовить атаку еще большей силы, гласит Карпов: «Числа сами по для себя звучат пугающе: еще годом ранее фиксировали атаку меньше чем в миллион запросов за секунду, и это было много. А на данный момент мы получили атаку в 20 раз сильнее».

Вероятнее всего, будущие атаки, которые будут совершены при помощи этого киберсети, мы даже не заметим, разъясняет Бакунов. Обычно это работает так: к примеру, один банк заказывает иной. А с той целью, чтоб средний банк закончил работать, хватило бы и одной сотой части уже собранного киберсети. Однако в общественном поле эти атаки обсуждаться не будут, о них изредка становится понятно.

Создателей, которые стоят за киберсетью, вероятнее всего, не отыщут: максимум, что смогут сделать органы, — попробовать забрать управление киберсетью. Однако и это сделать будет трудно, так как у современных киберсетей трудно выявить центр управления, которых быть может больше 1-го, гласит Лукацкий. Однако есть и отличные новости, считает Бакунов: сама по для себя атака, которой подвергся Yandex, достаточно легко блокируется. В особенности отлично с этим управляются как раз большие организации с неплохим уровнем безопасности. «Так что таковых игроков, вероятнее всего, штурмовать не будут — возьмутся за тех, кто гораздо меньше и у кого есть трудности с безопасностью».

Валерия Позычанюк