Ataki DDoS — nie ma dymu bez ognia

Specjaliści odpowiedzialni za infrastrukturę IT w organizacjach często żyją w przekonaniu, że ich sprzęt i systemy zapasowe mogą poradzić sobie nawet z maksymalnym obciążeniem firmowych serwisów online. Jednak atak DDoS (ang. Distributed Denial of Service — rozproszona odmowa usługi) może zakłócić działanie nawet najbardziej wytrzymałego serwera. Może wygenerować strumienie niepoprawnych żądań, odpowiedzi z serwerów osób trzecich na żądania, których nikt nie wysłał, informacje o przerwanych sesjach klienckich i inne bezużyteczne informacje zapychające atakowany zasób. Przy całej tej niechcianej aktywności narażony jest nie tylko serwer. Gdy dochodzi do ataku DDoS, specjaliści ds. IT zwykle poświęcają swój czas i zasoby na zwalczanie go — a to może być fatalnym błędem. Zanim wszystkie siły zostaną zaprzęgnięte do rozwiązania problemu ataku DDoS, należy ustalić, czy nie jest on jedynie zasłoną dymną kryjącą bardziej wyrafinowane działania cyberprzestępcze.

Zwykle atak DDoS jest przeprowadzany po to, by uniemożliwić użytkownikom uzyskiwanie dostępu do zasobu lub usługi online, a nawet całej infrastruktury IT danej organizacji. Ataki mogą pochodzić od konkurencyjnych organizacji, które chcą zdobyć przewagę rynkową i skompromitować oponenta w oczach użytkowników. Mogą zostać również zlecone przez szantażystów w celu wyłudzenia pieniędzy lub przez haktywistów (hakerów, którzy wspierają kampanie polityczne lub społeczne przy pomocy cyberprzestępczości) próbujących „ukarać” organizację lub rząd z powodów politycznych czy też ideologicznych.

Zlecenie ataku DDoS jest stosunkowo tanie. Szereg dostępnych metod oraz ogromna liczba podatnych na ataki serwerów pozwalają cyberprzestępcom na organizowanie potężnych, a jednocześnie niedrogich ataków. Każdy może zamówić atak na zasób sieciowy już za 50 dolarów — wystarczy przeprowadzić niewielkie rozeznanie online. Dzięki wykorzystaniu kryptowaluty zlecający atak mogą mieć pewność, że nie zostaną zidentyfikowani przy pomocy informacji finansowych. Łatwość i anonimowość — to właśnie przyciąga przestępców, również tych, którzy planują atak ukierunkowany na konkretną firmę. Dlatego też atak DDoS może być zastosowany jako sposób na odwrócenie uwagi specjalistów ds. IT.

Zastanówmy się, co dzieje się w firmie, kiedy zostają zaatakowane jej zasoby online. Po pierwsze, personel IT oraz zespół zajmujący się bezpieczeństwem informacji (jeśli taki istnieje) będzie starał się powstrzymać atak i przywrócić zaatakowane zasoby. Po drugie, pracownicy ci będą na wszelkie możliwe sposoby starali się zminimalizować szkody. Tymczasem sfrustrowani klienci będą dzwonić i pisać do firmy, aby zapytać, co się dzieje. Nie mogąc uzyskać dostępu do usługi, której potrzebują, lub np. dokonać płatności online, użytkownicy serwisu będą rozczarowani i zdenerwowani. Niektórzy zaczną wysyłać listy z żądaniami wyjaśnień, na które przeciążony personel pomocy technicznej nie będzie miał czasu odpowiedzieć. Brak odpowiedzi jeszcze bardziej zdenerwuje klientów, którzy zaczną krytykować firmę na portalach społecznościowych. Informacje te rozprzestrzenią się wirusowo i potencjalnie zagrożą reputacji marki. W całym tym bałaganie cyberprzestępcy będą mogli o wiele łatwiej obejść system ochrony firmy i działać w ukryciu.

Ta metoda ataku jest określana jako „zasłona dymna DDoS” i może być wykorzystywana w różnych celach. Kiedy uwaga specjalistów IT firmy jest zwrócona w innym kierunku, atakujący mogą umieścić swoje szkodliwe oprogramowanie bezpośrednio w sieci lokalnej ofiary. Warto również wspomnieć o oddziałach firmy, w których infrastruktura IT jest zarządzana z centrali. Jeśli zespół IT skupi się na ataku DDoS, może nie zauważyć na czas wycieku danych z odległego biura.

Jeśli cyberprzestępcy są wystarczająco biegli w swoim fachu, ślady ich aktywności zostaną wykryte dopiero znacznie później (jeśli w ogóle), co oznacza, że nie będzie ich można jednoznacznie powiązać z atakiem DDoS. Należy wiedzieć, że tego rodzaju ataki na firmę — w tym ataki przeprowadzone pod osłoną DDoS — prowadzą do bardzo poważnych konsekwencji. Według badania przeprowadzonego przez Kaspersky Lab i B2B International atak ukierunkowany na firmę może spowodować średnie straty w wysokości 84 000 dolarów w przypadku małych i średnich firm oraz nawet 2,5 miliarda dolarów w przypadku korporacji.

Aby zapobiec atakowi DDoS i pozbawić oszustów możliwości wykorzystania go jako „przykrywki”, firmy powinny podjąć działania zapobiegawcze. Dostępne możliwości obejmują sprzętowe rozwiązania bezpieczeństwa wchodzące w skład firmowej infrastruktury IT oraz usługi czyszczenia ruchu, które pozwalają przefiltrować żądania spływające do firmy z internetu. Rozwiązanie sprzętowe, choć łatwe we wdrożeniu, nie jest w stanie zapewnić ochrony przed atakami, których celem jest przeciążenie kanałów informacyjnych, a nie serwerów klienckich. Dlatego za najskuteczniejsze podejście uważa się hybrydową metodę ochrony, taką jak Kaspersky DDoS Protection, która łączy kilka technologii.

W firmach wykorzystujących ochronę hybrydową kryzys spowodowany atakiem DDoS będzie przebiegał zupełnie inaczej. Atak nie zostanie zauważony przez dział IT — lub, co gorsze, klientów — ale przez czujnik monitorujący zmiany statystyczne w przepływie danych. Po zarejestrowaniu podejrzanej nieprawidłowości czujnik ten wyśle żądanie przełączenia przepływu ruchu na uzgodnioną wcześniej alternatywną ścieżkę przebiegającą przez serwery czyszczące. To oznacza, że specjaliści ds. bezpieczeństwa IT firmy nie będą musieli kierować swojej uwagi na strumienie bezwartościowego ruchu i będą mogli skupić się na śledzeniu podejrzanej aktywności sieciowej, która zwiastuje atak hakerski. Innymi słowy, będą mogli skoncentrować się na wykonywaniu swojej pracy.

Autor:

Piotr Kupczyk

dyrektor biura komunikacji z mediami

Kaspersky Lab Polska

Źródło: Kaspersky Lab