Мир — во власти хакеров?

GQHi-Tech

Чума на оба ваших домена, или История большого взлома

В этом году «Яндекс» стал мишенью самой крупной в истории DDoS-атаки, а в США обнародовали вопиющий случай фишинга паролей. Мир — во власти хакеров?

Текст: Данила Мельников. Иллюстрации: Eduardo Ramón.

Когда Земля была маленьким шариком в углу браузера, а Windows — дырявой, как решето, операционной системой, всякой малвари¹ (см. глоссарий) жилось максимально привольно. В результате в 2007–2010 годах планету населили Титаны — ботнеты²-миллионники, в том числе 5‑миллионный ZeuS, которые по‑разбойничьи сеяли хаос и панику во все еще юном и неокрепшем интернете с помощью DDoS-атак³. Сегодня «дидосят» не ради развлечения. Это способ конкурентной борьбы. Классика жанра — борьба между онлайн-магазинами: когда один не работает, все идут покупать в другой. Большинство таких атак забивают жертве канал «мусорными» запросами. Атаку легко организовать, но и легко отразить — мусор отличается от реального трафика, и есть множество компаний, создающих программные решения на такие случаи.

«Атаки, череду которых мы стали наблюдать в конце лета, были не такими, — рассказывает Антон Карпов, директор по безопасности «Яндекса». — Это были легитимные запросы — когда мусор мало чем отличался от запроса настоящего, живого пользователя». Источником стала «Чума» — новый ботнет невиданной ранее силы. Если раньше обнаруженные программистами вирусы и другие опасные формации получали скучные порядковые номера, то последние лет десять им дают полноценные имена — как кораблям или как штормам и ураганам. «Название родилось так: я прихожу к нашему редактору блога и говорю: «Слушай, это чума какая‑то!» За это слово и ухватились: посмотрели, как будет «чума» на латышском — mēris. Так новый ботнет и назвали, — вспоминает Александр Лямин, глава Qrator Labs, компании, специализирующейся на защите от DDoS-атак. — Мы общались с кучей народа из разных стран, но храбрости выйти с кейсом на публику хватило только двум компаниям — Cloudflare и «Яндексу».

Прибалтика возникла в истории не случайно: Mēris примерно с 2018 года функционировал на основе популярных (и по иронии судьбы считавшихся достаточно надежными) роутеров латвийской компании MicroTik. Три года назад в операционной системе роутеров появилась брешь, и за прошедшие несколько лет хакерам удалось постепенно вырастить ботнет из 250 тысяч устройств. Цифра не рекордная, но и не маленькая.

Роутеры для ботнета — устройства не типичные, но удобные. Это производительные девайсы, которые, во‑первых, постоянно подключены к сети по широким каналам связи, а во‑вторых, это домашние устройства с реальными пользователями. Из второго пункта вытекает сложность применения обычной тактики борьбы — если блокировать IP‑адреса, пострадают те самые пользователи.

Разработчики приложений определяют разрушительную силу ботнета в количестве запросов в секунду. По последнему показателю атака Mēris стала самой крупной за всю историю интернета — без малого 22 млн запросов. Для сравнения: в среде разработчиков долго считалось, что 10 тысяч запросов в секунду — это уже мощное нападение. Сначала экспертная среда решила, что весь шум — из‑за возвращения старого знакомого, ботнета Mirai. Он натворил бед в 2016 году, когда по его вине массово отключался интернет на Западном побережье США. Однако Mirai базировался не на роутерах, а на девайсах «интернета вещей», в частности видеокамерах, умных розетках и т. д. А тут довольно быстро стало понятно, что дело не в розетках.

Расслабьте фильтры!

«За последние 15 лет тренды в сфере информбезопасности переместились в область монетизации, — говорит Антон Карпов. — Еще в нулевых был популярен подход full disclosure: нашел уязвимость⁴ — альтруистично рассказал о ней публично, ничего на этом не заработав. Раньше выкладывали в общий доступ даже эксплойты⁵. Сегодня такого уже нет, все покупается и продается, у всего есть свой ценник — у «дыр» в Windows, MS Office, MacOS. Это в некотором роде привело к деромантизации хакерской работы. Нас часто спрашивают, берем ли мы на работу «бывших хакеров» — тех, кто совершал правонарушения ради наживы. Но здесь надо понимать, что очень часто такие люди имеют весьма невысокую квалификацию — они просто купили конструктор троянов или доступ к ботнету. Настоящие профессионалы не занимаются атаками, они пишут инструментарий».

Александр Лямин рассказывает, что иногда сами бизнесмены в погоне за доходом позволяют ботнетам атаковать свои сайты: «Ты почистил трафик от роботов, а потом заказчик заявляет: пропала глубина просмотров — расслабьте фильтры! Что‑то стало слишком много трафика, системы не справляются — напрягите фильтры! Упало количество показов баннеров — расслабьте фильтры. Ой, выросли показы баннеров — снова напрягите фильтры, рекламодателям опять не нравится». По словам экспертов, российский e‑commerce почти не использует никаких решений по отлову ботов. В связи с этим на запросы последних иногда приходится до 60 % трафика. Боты приходят не только для DDoS-атаки. Они появляются на сайтах, например, для кражи описаний и фотографий товаров. Они окружают нас со всех сторон.

Брутальный DDoS

«Мы нашли и тех, кто создал ботнет, и тех, кто организовывал атаку, — это разные люди, — говорит Антон Карпов. — Обычно подобные криминальные цепочки довольно длинны. Один человек находит уязвимость и продает ее на черном рынке — чаще всего это выгоднее, чем проинформировать о ней компанию-владельца и потребовать какое‑то вознаграждение. Например, получить «дыру» в свежей iOS стоит порядка $5 млн — айфон сегодня самый сложный для взлома пользовательский девайс. Другие эксплуатируют уязвимость и собирают ботнет, после чего сдают его в аренду. Кто финальный заказчик — отдельная тема. Равно как и ответ на вопрос, зачем «дидосить» «Яндекс».

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Шифры на вашем счете Шифры на вашем счете

Cвою цифровую наличность сегодня можете создать и вы

GQ
Персонажи фильмов, основанные на реальных личностях Персонажи фильмов, основанные на реальных личностях

Узнай, кто стоит за всеми любыми персонажами

Maxim
Умеренный халифат Умеренный халифат

Как живут афганцы после возвращения талибов

GQ
Как поставить пароль на файлы, папки, диски: 3 проверенных способа Как поставить пароль на файлы, папки, диски: 3 проверенных способа

Можно запретить другим людям доступ к отдельным файлам, папкам или даже диску

CHIP
Человек — лишнее звено Человек — лишнее звено

Какие технологии станут главными в 2022 году

Forbes
Какие женщины отталкивают мужчин? Рассуждает Михаил Лабковский Какие женщины отталкивают мужчин? Рассуждает Михаил Лабковский

Несколько эффективных способов отпугнуть мужчину, того совершенно не желая

VOICE
15 мыслей Игоря Бутмана 15 мыслей Игоря Бутмана

Игорь Бутман — о возрасте, тишине, кино и Моргенштерне

GQ
Сиенна огненная Сиенна огненная

Жизнь Сиенны Миллер, одной из главных it-girls нулевых, кажется спокойной

Harper's Bazaar
20 способов не выглядеть глупо в кругу меломанов 20 способов не выглядеть глупо в кругу меломанов

Беседы о музыке — тонкий лед

GQ
Как французский орнитолог стал вожаком стаи гусей и летал с ними на зимовку Как французский орнитолог стал вожаком стаи гусей и летал с ними на зимовку

Как орнитолог возглавил косяк и перелетел вместе с гусями через Балтийское море

Популярная механика
Пятиминутный путеводитель по... фейковым новостям Пятиминутный путеводитель по... фейковым новостям

Лучшие фейки событий и теорий заговоров, мистических тварей и личностей

Esquire
Для акупунктурных точек нашли анатомическую основу и рефлекторную цепь Для акупунктурных точек нашли анатомическую основу и рефлекторную цепь

Идея иглоукалывания объясняется учеными

N+1
Закат культуры Закат культуры

Почему у древних греков были бег, борьба и гонки колесниц, но не было бобслея

Esquire
Актерское мастерство Актерское мастерство

Гостевой дом в частном охотничьем хозяйстве недалеко от Москвы

AD
Цифровая смерть: о чем стоит подумать пользователям соцсетей после сбоя Facebook Цифровая смерть: о чем стоит подумать пользователям соцсетей после сбоя Facebook

Привычные нам сервисы могут исчезнуть в любой момент

Forbes
10 вещей, от которых стоит отказаться, чтобы изменить жизнь к лучшему 10 вещей, от которых стоит отказаться, чтобы изменить жизнь к лучшему

Не только алкоголь и курение: от каких вредных привычек стоит отказаться

Psychologies
«Родные не знали, что этот ребенок существует»: правда и ложь об «отказниках» «Родные не знали, что этот ребенок существует»: правда и ложь об «отказниках»

Можем ли мы осуждать родителей за решение оставить ребенка?

Psychologies
Вечная молодость. Почему день рождения Путина больше не праздник Вечная молодость. Почему день рождения Путина больше не праздник

Приготовление рецепта вечной молодости для президента

СНОБ
Ана де Армас: бывшая девушка Аффлека и новая девушка Бонда Ана де Армас: бывшая девушка Аффлека и новая девушка Бонда

Как Ана де Армас переехала в Мадрид с 300 евро и как решилась покорить Голливуд

Cosmopolitan
Крепкие руки и ровная спина: подтягивания — виды, техника, таблица и упражнения Крепкие руки и ровная спина: подтягивания — виды, техника, таблица и упражнения

Всё, что вы хотели знать о самом эффективном упражнении — о подтягиваниях

VOICE
Маленькие страсти – большие трагедии Маленькие страсти – большие трагедии

Когда ребенок закатывает истерику, так и хочется прекратить это силой

Добрые советы
Незапрещенная профессия Незапрещенная профессия

Как женщины уже 20 лет руководят российской журналистикой

Forbes Woman
Место силы Место силы

Валерия Дзюба о своем новом офисе в легендарном доме Наркомфина

AD
Проблемы XXI века: 6 причин, из-за которых мы стареем быстрее Проблемы XXI века: 6 причин, из-за которых мы стареем быстрее

6 современных причин старения

VOICE
Есть ли у Путина шанс стать императором Есть ли у Путина шанс стать императором

При каких условиях реставрацию монархии могут поддержать элиты?

СНОБ
Клён? Нет, ликвидамбар Клён? Нет, ликвидамбар

Осенью особенно интересно путешествовать по старинным усадебным паркам

Наука и жизнь
С какой силой Эм-Джей должна держаться за Человека-паука во время полета, чтобы не упасть - кино с точки зрения физики С какой силой Эм-Джей должна держаться за Человека-паука во время полета, чтобы не упасть - кино с точки зрения физики

Реально ли удержаться за Человека-паука в полете?

Популярная механика
В сперме не было ни одного сперматозоида: как я перенесла неудачную попытку ЭКО В сперме не было ни одного сперматозоида: как я перенесла неудачную попытку ЭКО

Беременность не всегда наступает быстро

Cosmopolitan
Теснота нестихового ряда Теснота нестихового ряда

Игорь Гулин о поэзии Сергея Кулле

Weekend
Кислотность Кислотность

Что мы знаем о кислотности желудочного сока?

Maxim
Открыть в приложении