DDoS-атаки на российские компании: как их пережил РБК и что будет дальше

Как бизнесу закрыть бреши в безопасности, если на зарубежное ПО надежды мало.

Этой весной российские компании столкнулись с рекордным количеством DDoS-атак. По данным «Лаборатории Касперского», в марте 2022 таких нападений зафиксировано в 8 раз больше, чем в том же месяце предыдущего года. При этом значительно увеличилась их длительность. Год назад аналитики оценивали среднюю продолжительность в 12 минут, а максимальную в 90, но в этом феврале атака в среднем длилась 9 часов, а в марте уже более суток – 29,5 часов. Также исследователи зафиксировали абсолютный максимум за всю историю наблюдений – DDoS-атаку, которая не прекращалась 145 часов.

Изменился и подход злоумышленников к выбору жертв. В марте более трети всех нападений хакеры совершили на финансовый сектор, в то время как обычно на него приходится не более 10-15% инцидентов. А в феврале чаще всего атаковали медиаплощадки – количество DDoS-атак на них выросло в 11 раз: с обычных 3% до пугающих 33%. Сайт РБК принял на себя один из первых ударов, в моменте интенсивность запросов доходила до 2,5 миллионов в минуту. Несколько дней нашей команде пришлось работать круглосуточно по сменам в режиме чрезвычайного положения. В процессе мы на практике узнали много нового и выработали новую стратегию защиты.

Серьезных последствий из-за DDoS-атак РБК удалось избежать благодаря тому, что к моменту их начала наша служба информационной безопасности уже работала в режиме повышенной готовности. Вечером 27 февраля сотрудники редакции заметили, что на сайте отображаются слишком высокие курсы валют. IT-специалисты проверили базы, бек- и фронтенд и поняли, что данные подгружаются откуда-то извне. Затем мы проанализировали все подключенные к сайту модули внешних поставщиков.

Источником проблемы оказался счетчик посещаемости, связанный с сервисом Onthe.io от украинской компании IO Technologies. Подобные инструменты медиа-аналитики используют все крупные СМИ. Они позволяют оценивать посещаемость, вовлеченность читателей, результаты рекламных кампаний и видеть другие важные метрики в удобном дашборде. Через этот счетчик злоумышленники внедрили на сайт посторонний код на языке JavaScript. Каждый раз при входе нового посетителя на сайт он запускался и показывал ненастоящие котировки валют. Такие атаки называются «инъекциями» и относятся к типу XSS – межсайтового скриптинга.

Несколько часов технические специалисты РБК проверяли, что атака действительно идет через сервис, с которым наша компания работает давно и успешно. После того, как теория подтвердилась, до четырех часов утра уже следующего дня команда службы безопасности занималась удалением всех связанных с Onthe.io скриптов с сайтов многочисленных проектов РБК. А 28 февраля сайты практически всех крупнейших медиа России – ТАСС, «Коммерсанта», «Известий» и многих других – открылись заявлениями хакеров, связанными с ситуацией на Украине. Подмененные курсы валют оказались вовремя замеченным тестом вектора будущей атаки: теперь полностью подменялась любая страница атакованных площадок.

Официальная позиция IO Technologies, которую служба поддержки отправляла клиентам сервиса Onthe.io в ответ на вопрос как все произошло, звучит так: «Наш сервис подвергся кибератаке и был взломан. Из-за чего на сайте появилось несанкционированное заявление. На данный момент мы не контролируем ситуацию, поэтому настоятельно рекомендуем в срочном порядке снять код cdn.onthe.io до выяснения обстоятельств. Также официально заявляем, что наша команда не имеет к этому никакого отношения».

Предполагается, что за взломом Onthe.io стоит хакерская группировка Anonymous. Однако вскоре после атаки через свой счетчик IO Technologies перевезла значительную часть своих сотрудников в Европу и США и заявила, что с 1 марта отказывается от работы с клиентами из России и Белоруссии, а все претензии предложила направлять в Европейский суд. По данным SimilarTech, в середине марта счетчик Onthe.io был установлен почти на 2000 российских и более 350 белорусских сайтов, в то время как в США их менее 200. В конце апреля количество российских сайтов в этом списке уменьшилось на четверть.

Вскоре после этого начались масштабные DDoS-атаки на наши ресурсы и площадки других российских медиа. Первым вектором стали зараженные сайты, построенные на базе системы управления контентом WordPress. Это не только один из самых популярных бесплатных «движков», но и один из самых уязвимых. Хакеры достаточно быстро смогли взломать десятки таких площадок и встроить в них вредоносный код, который заставляет компьютеры посетителей отправлять сотни или тысячи запросов на ресурсы из заданного списка атакуемых. При этом пользователь этого даже не замечает. Максимум – видит, что работа браузера почему-то замедлилась. Более того, эксперты MalwareHunterTeam обнаружили, что в таком режиме работал целый ряд украинских сайтов, включая страницу национального банка страны.

Вторым направлением DDoS-атак стали script kiddie – так «настоящие» хакеры пренебрежительно называют тех, кто пользуется чужими скриптами и программами, не понимая, как они работают. 26 февраля 2022 года министр цифровой трансформации Украины объявил о создании «IT-армии». Одна из частей этого проекта – доступный любому желающему Telegram-канал с одноименным названием. В нем неизвестные люди каждый день публикуют новый список целей для DDoS-атаки и набор скриптов с инструкциями, как ими пользоваться.

На момент публикации материала в канале «IT-армии» около 300 000 подписчиков, но он не единственный – есть множество менее популярных аналогов с аудиторией в 10-80 тысяч человек. Примечательно, что информация об атаках дублируется на английском языке. Недавно The Guardian опубликовал большой материал с рассказами использующих эти скрипты граждан США и ЕС. В США, Великобритании и, например, в Финляндии DDoS-атаки относятся к разряду киберпреступлений с наказанием вплоть до тюремного заключения.

Одновременно с этим вредоносный код для осуществления DDoS-атак начал появляться прямо на GitHub. Это крупнейший в мире сервис хранения и синхронизации кода программистов и разработчиков. Правила платформы запрещают публикацию такого контента, но по элементарному запросу до сих пор можно найти множество готовых скриптов для осуществления DDoS-атак на российские сайты и сервисы. На жалобы пользователей и пострадавших СМИ (наша техническая команда тоже их отправляла) площадка реагирует медленно и неохотно, либо не реагирует вообще.

Менять стратегию защиты нам пришлось буквально на ходу. Первые DDoS-атаки шли в основном с зарубежных IP-адресов – интенсивность удалось снизить с помощью ограничения такого трафика. Но почти сразу злоумышленники стали подменять IP на российские с помощью VPN-сервисов. К этому моменту мы успели быстро подключить внешнее решение для защиты от DDoS. Однако и оно не решило все проблемы сразу – атакующие стали действовать еще изобретательнее и начали не просто вызывать сайт напрямую десятки тысяч раз в минуту, а пытаться перегрузить таким образом определенные его части. Эту угрозу удалось нивелировать методом переноса запрашиваемых данных в кэш – быстрое хранилище, способное выдерживать на порядки более высокую нагрузку. «Мы сделали вывод, что хорошая DDoS-защита – это очень дорого, потратили на внешнее решение достаточно много денег, но все равно понимаем, что оно не защитит от всего, –– говорит директор по разработке РБК Анна Абрамова. –– Чтобы устранить эти угрозы мы уже начали внедрять большое количество наших собственных доработок».

Помимо этого мы полностью пересмотрели подход к работе с внутренней сетью, через которую сотрудники холдинга публикуют материалы на сайтах. Такая связка – потенциально уязвимое место: ее можно перегрузить и полностью парализовать выход новостей и статей. Кроме того, наши разработчики придумали «План X» – максимально облегченную версию главного сайта РБК. На нее можно экстренно переключаться во время особенно интенсивных DDoS-атак, значительно снижая нагрузку на оборудование, а читатели при этом не потеряют доступ к информации.

Самым сложным вопросом стал отказ от внешних модулей вроде того же Onthe.io – заменить многие из них на аналоги собственной разработки или решения отечественных компаний, которым можно доверять, иногда просто невозможно. Зато совершенно очевидно, что сложившаяся ситуация вскоре позволит совершить заметный технологический рывок. Если раньше никто не хотел «изобретать велосипед» с собственной рекламной системой, потому что внешнее решение от Google работает нормально, то теперь не все готовы ему доверять.

Реальность показала, что даже оно не справляется с DDoS-атаками и отключает монетизацию во время них – компания теряет деньги. Вместо него мы перешли собственное решение, которое техническая служба запустила буквально за несколько дней. За считанные часы долгое время находившаяся в стадии разработки рекламная система, которую до этого держали в законсервированном виде, потому что нормально работали стандартные зарубежные аналоги, из проекта с сомнительной перспективой превратилась в мощный козырь в рукаве. Такую тенденцию в России сейчас видят и чувствуют все — внутренние продукты становятся крайне востребованы.