Хакеры взломали GeoIP: DDoS-атаки из «своих» сетей становятся новым трендом

В новом отчете Qrator Labs, специализирующегося на сетевой безопасности, представлен анализ ситуации с DDoS-атаками на российскую IT-инфраструктуру за 2023 год. Исследование выявило, что хакеры научились успешно обходить блокировки по GeoIP и существенная часть кибератак теперь генерируется локальными источниками, близкими к региону жертв.

Атаки все еще реализуются издалека, но с использованием устройств в России, пояснили в Qrator Labs. Согласно данным компании, общее число заблокированных IP-адресов достигло максимума к концу 2023 года: за четвертый квартал заблокировано 22,3 млн адресов. Рост составил 19,25% к третьему кварталу и 120% ко второму. В 2022 году компания не проводила подобные замеры.

Злоумышленники активно используют «серые прокси-серверы» на территории России, что позволяет маскировать вредоносный трафик под легитимные российские IP-адреса. Эксперты указывают на использование взломанного сетевого оборудования, уязвимых устройств IoT и мобильных гаджетов в качестве прокси-серверов.

Интересно, что частота атак с иностранных IP-адресов снижается, в то время как количество атак с использованием российских адресов растет. В Innostage отмечают, что такая тенденция свидетельствует о росте случаев аренды локальных IP-адресов. В DDoS-Guard также говорят, что сейчас атакующие запросы поступают с российских IP-адресов в 50% случаев, остальные — из Китая, Индонезии или США.

Блокировка по геопризнаку использовалась как средство ограничения доступа к ресурсам, которые не предполагают работу за пределами определенных регионов. В 2022 году из-за роста кибератак многие российские интернет-сервисы, в частности государственные, начали ограничивать доступ для всех зарубежных IP-адресов.

Роскомнадзор в 2023 году сообщал о создании собственной базы данных, которая должна сопоставлять IP-адреса с их примерным местоположением. Это позволит противодействовать распределенным атакам, источниками которых являются ресурсы и уязвимые устройства за пределами российского сегмента сети, уточнили изданию «Коммерсантъ» в ведомстве.

Аналитики отмечают, что большинство атак с использованием российских устройств имеют политическую подоплеку и организуются иностранными группировками. Для реализации атак злоумышленники могут арендовать оборудование в России через подставные юридические лица.

Несмотря на возросшие угрозы, эксперты уверены, что большинство атак можно предотвратить с помощью автоматических систем защиты, хотя иногда требуются дополнительные меры. Рост числа кибератак увеличивает нагрузку на сети российских провайдеров и хостеров, что может привести к введению новых регуляторных мер в отношении хостинг-провайдеров за использование их ресурсов в противоправных целях.