Хакеры используют VPN и российские устройства для обхода блокировок зарубежного трафика

23.05.2022 |

Елизавета Клейн.

Хакеры начали использовать VPN и Proxy-сервисы в целях обхода фильтрации трафика. Кроме того, для атак теперь чаще используются российские устройства, объединяемые в ботнеты – сначала атакуются непосредственно пользовательские устройства, которые потом, будучи зараженными, начинают атаковать уже другие ресурсы. В целях безопасности эксперты рекомендуют менять заводские пароли и использовать антивирусный софт, однако определить, заражено ли конкретное оборудование, не под силу большинству простых пользователей.

С момента начала спецоперации на Россию обрушилось небывалое количество DDoS-атак, на что Роскомнадзор отреагировал блокировкой иностранного трафика по географическому признаку. В ответ злоумышленники начали использовать VPN и Proxy-сервисы, позволяющие им обойти эти ограничения. Кроме того, как пишет «КоммерсантЪ», ссылаясь на сообщения Telegram-канала IT Army of Ukraine (с количеством подписчиков более 260 тыс.), активно используются и устройства российских пользователей. В апреле Роскомнадзор сообщал о создании национальной системы защиты от DDoS-атак. В этих целях ведомство планировало провести обновление оборудования для глубокой фильтрации трафика(Deep Packet Inspection, DPI), использующееся для обеспечения требований законодательства о суверенном интернете. Издание «КоммерсантЪ» сообщает, что Минцифры и Роскомнадзор используют это оборудование уже с марта, чтобы отфильтровывать трафик по географическому признаку.

С 24 февраля 2022 года - начала российской спецоперации на территории Украины также берет начало и цифровая война: по словам специалистов «Лаборатории Касперского», количество только DDoS-атак выросло в 4,5 раза по сравнению с тем же периодом за прошлый год. Основные атаки велись и продолжают вестись в отношении государственных сервисов и госсектора, страдают также и крупные организации.

Эксперты утверждают, что блокировка трафика, осуществляющаяся по географическому признаку, действительно является оперативным и действенным способом реагирования на DDoS-атаки для определенных сервисов.

Однако, хакеры видя, что блокировка включена, задействуют для своих атак российские IP-адреса. Обойти блокировку, фактически находясь в другой стране, можно, если арендовать VPN, Proxy или VPS (виртуальный выделенный сервер) у российских провайдеров, либо использовав ботнеты – зараженные устройства российских пользователей, объединенных в сеть, используемую в целях злоумышленников. Это может быть спам рассылка или DDoS-атака, о чем сами хозяева зараженного устройства даже не подозревают. Обычному пользователю трудно предположить, что участвовать в запланированной атаке на сайт правительства могут его умный холодильник и радионяня с помощью внедренной злоумышленниками программы. Однако большинство атак осуществляется именно за счет подобных smart-устройств, а также персональных компьютеров. Но, если на ПК и смартфоны пользователи готовы устанавливать антивирусное ПО, то о защите роутера или утюга думает значительно меньший процент пользователей.

В Positive Technologies подтверждают информацию и говорят об увеличившемся количестве атак на умные устройства в 2022 году до 60% от общего числа хакерских атак. Это означает, что каждая удачная атака добавила в строй ботнетов еще оборудование, что позволит проводить следующие атаки более массированно.

Эксперты их Qrator Labs также заметили, что злоумышленники переключились на устройства, расположенные на российской территории, сообщая, что и ранее происходил обход блокировок по IP с помощью заражения российских устройств. Это значит, в большинстве случае фильтрация трафика по геолокации не будет иметь необходимой эффективности.

Кроме того, ботнеты, составляющиеся из устройств пользователей, несмотря на небольшую мощность, весьма многочисленны и почти ничего не стоят владельцу.

Одним из крупнейших ботнетов стал Meris – с помощью него в начале сентября 21 года были атакованы сервисы «Яндекса», что вошло в историю как мощнейшая атака с количеством запросов 21,8 млн в секунду. По словам экспертов, развитие подобных сетей происходит за счет быстро увеличивающегося количества умных устройств, имеющих сетевые функции.

Противодействовать злоумышленникам можно, если изменять заводские пароли в устройствах IoT (видеокамерах, роутерах, чайниках и т.д.), что подразумевают правила цифровой безопасности. Однако простому пользователю навряд ли удастся достоверно определить, заражены ли его устройства, или нет. Косвенными признаками, указывающими на заражение, может быть замедление скорости передачи данных, медленная работа устройств, а также появление больших количеств рекламных объявлений. Повысить уровень безопасности может также альтернативный DNS-сервер и качественный роутер.

Автор: Елизавета Клейн.