Русский военный корабль, иди нах*й.
Пожертвувати на армію
×
Упс!
Не вдала спроба:(
Будь ласка, спробуйте ще раз.

DDоS-карма чи «легітимні» хакери. Кібердетектив про «Укрпошту», марку з русскім воєнним кораблем та обвал сервісів

Василь Хомяк
Василь Хомяк CSE «ВОЛЗ»
30 травня 2022 7 хвилин читання

Якби хтось описав кейс «Укрпошти» з продажем марок з російським кораблем, це був би детектив. Бо тут і емоційні гойдалки від «Ура!» до «Що у вас за сервіс?», і перипетії з DDOS-атаками, і пошук доказів, і антагоніст, якому не подобається ажіотаж довкола товару. Але поки що ми збираємо лише частинки пазла, а спеціалісти з кіберзахисту аналізують усі ситуації, аби їхні клієнти могли уникнути атак або падіння платформ від великої кількості одночасних запитів. Чи існує DDоS-карма та чи можна схожі атаки попередити?  

Передісторія

22 квітня, щойно почався продаж марки «Русскій воєнний корабль, іді...!», сайт держкомпанії «ліг». Причиною став ажіотаж та, як пізніше з'ясувалося, керована DDоS-атака. 

"Укрпошта" не розгубилася й швидко створила новий онлайн-магазин, однак і він не впорався з величезною кількістю запитів. Далі був етап мемів про марку та "Укрпошту". Коли ажіотаж дещо стих, сталася нова поворотна подія: підприємство випустило марку, де російський корабель уже всьо. 

Цього разу «Укрпошта» залучила до продажу провідні маркетплейси Rozetka, Kasta та Prom.ua, але і вони підвисли від перевантаження. Тоді у хід пішла важка артилерія — продажі на eBay. Тут спрацювали алгоритми захисту, платформа просто зупинила продажі через величезний ажіотаж. Зараз сайт пише, що всі товари sold out.

Про своє бачення ситуації з DDoS-атаками на «Укрпошту» розповідає Василь Хомяк, CSE «ВОЛЗ», компанії з надання інтернет-послуг, хостингу та захисту від DDoS-атак.

DDoS-атаки, які зафіксували під час продажу марок 22 квітня та 24 травня, мають чимало спільного, але це два різні кейси, кожен з яких потрібно аналізувати окремо.

DDoS-атака 24.05.2022

На жаль, на сьогодні публічна інформація щодо технічних деталей DDoS-атаки 24 травня, яка призвела до нестабільної роботи сервісів онлайн-магазину «Укрпошти» та маркетплейсів Rozetka, Kasta, Prom.ua, відсутня.

Для розуміння, які з компонентів інформаційних систем зазначених компаній дали збій та в який спосіб запобігти виникненню подібних інцидентів, важливо зібрати факти,  провести аналіз по гарячих слідах та впровадити відповідні заходи, щоб проблема не повторилася знову.

Враховуючи той факт, що три потужні українські маркетплейси, кожен з яких має власні підходи до реалізації архітектури побудови ІТ-систем та реалізовані рішення з кібербезпеки, а також пов'язані з їхньою роботою платіжні системи, не змогли на 100% забезпечити повноцінне функціонування в умовах високого навантаження та DDoS-атаки, цей інцидент є важливим сигналом для ІТ-команд. При цьому як цих маркетплейсів, так і інших учасників ринку, які можуть зіткнутися зі схожими проблемами.

Не можна відкидати той факт, що продаж марок викликав безпрецедентний попит покупців. Тож ми можемо говорити про «комбіновану» атаку на інформаційні системи й канали зв'язку маркетплейсів та провайдерів. Вона складалася як з «легітимних» запитів сотень тисяч охочих замовити марку онлайн, так і нелегітимного DDoS-трафіку.

Тому аналізувати ситуацію варто у кількох площинах:

1. Чи впоралися  б інформаційні системи маркетплейсів з навантаженням за відсутності DDoS-атак? 

2. Якого типу та характеру була DDoS-атака? На якому етапі її виявили? З яких причин чинні системи захисту не змогли повною мірою захистити інформаційні системи?

3. Чи не стали вузьким місцем під час DDoS-атаки канали зв'язку та інформаційні системи провайдерів, що надають послуги зв'язку та хостингу?

DDoS-атака 22.04.2022

Деякі з технічних деталей щодо DDoS-атаки, яка трапилася під час запуску онлайн-магазину «Укрпошти» та першого продажу марок, на своєму сайті оприлюднила американська компанія з кібербезпеки SecurityScorecard (SSC).

На підставі аналізу даних Netflow щодо ІР-адрес «Укрпошти» вдалося з'ясувати, що:

1. Мала місце DDoS-атака типу DNS Amplification.

2. Атака тривала приблизно 16 годин.

3. Джерелом атаки були майже 1 тис. публічних ІР-адрес, територіально розподілених по всьому світу.

4. Найбільшу активність фіксували з трьох країн: Індонезія, Таїланд, Філіппіни (разом приблизно 80% шкідливого трафіку).

5. Більшість з ботів, залучених до атаки, — це роутери Mikrotik з активованим на 53-му порту рекурсивним DNS.

Додатково варто зауважити, що 34 із виявлених ІР-адрес раніше фігурували під час DDoS-атак на українські урядові та банківські сайти.

На підставі цих даних можемо говорити, що на перший погляд мала місце  волюметрична DDoS-атака, спрямована завантажити пропускну здатність каналів зв'язку. Але, як це доволі часто буває, атака могла бути комплексною, складнішою, тобто спрямованою і на прикладний рівень.

Висновки та рекомендації.

DDoS-атаки типу DNS Amplification доволі поширені. Використання комплексних заходів та сучасних систем виявлення й захисту від DDoS-атак дозволяють доволі оперативно та ефективно їм протидіяти.  

При цьому надзвичайно важливу роль у схемі захисту від DDoS відіграють провайдери, які надають послуги зв'язку/хостингу. Наприклад, від DDoS-атак на прикладному рівні клієнт за наявності кваліфікованих ІТ-спеціалістів та впроваджених в інфраструктурі сучасних систем захисту може захиститися самостійно. Натомість від волюметричних атак з трафіком у десятки/сотні Гб/с ефективний захист може забезпечити лише провайдер, який має для цього відповідні ресурси.

Тому всі заходи та комплекси захисту від DDoS, впроваджені у клієнта, будуть зведені нанівець, якщо провайдер зв'язку:

1) має недостатню пропускну здатність своїх аплінк-каналів (тобто пропускна здатність каналів не враховує потенційно можливого аномального сплеску трафіку, викликаного DDoS-атакою);

2) має низькоефективну ІР-зв'язність в інтернеті (відсутність або недостатню кількість: приватних пірингів PNI, підключень до міжнародних точок обміну IX, підключень з провайдерами рівнів Tier1, Tier2);

3) не має ефективної комплексної системи захисту від DDoS-атак;

4) не може забезпечити кваліфіковану технічну підтримку та взаємодію з клієнтом в онлайн-режимі 24/7 на момент DDoS-атаки.

Важливо розуміти, що для ефективного відмовостійкого каналу зв'язку та захисту від DDoS клієнту потрібне підключення до мережі щонайменше двох провайдерів зв'язку, які відповідають усім цим критеріям.

А якщо ми говоримо про захист від DDoS вебресурсів, ефективним є використання наявних на ринку рішень від Cloudflare, Akamai, AWS. Нашим клієнтам ми рекомендуємо також рішення від Arbor Netscout, яке чудово себе показало на практиці. 

Підсумовуючи усе зазначене, будемо сподіватися, що «Укрпошта» та маркетплейси знайдуть і впровадять ефективне рішення, що дозволить уникнути негативних наслідків у випадку повторення DDoS-атак, які мали місце 22 квітня та 24 травня. Зважаючи на те, що «Укрпошта» анонсує  випуск та продаж нових марок, невдовзі ми всі зможемо перевірити це.

Ну і звісно, усі інші незахищені або недостатньо захищені від DDoS бізнеси повинні звернути увагу та вжити превентивних заходів для мінімізації наслідків DDoS-атак, жертвами яких рано чи пізно може стати будь-хто.

Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.
0
Прокоментувати
Інші матеріали

«Укртелеком» і війна. Інтерв'ю з директором зі стратегії та розвитку бізнесу компанії Ігорем Яремчуком

Роман Судольський 8 серпня 2022 11:12

Вісім ознак надійності партнера з кібербезпеки, на які спираються CISO компаній США

Oleksiy Sevonkin 5 серпня 2022 17:32

«Сьогодні втрата даних – питання часу»: що таке бекап та чому це надважлива процедура для бізнесу

Данило Белов 2 серпня 2022 17:17

Amazon Web Services допоміг Україні перенести у «хмару» 10 петабайт даних

Kateryna Venzhyk 30 липня 2022 10:55

Як українському бізнесу захиститися від атак російських хакерів під час війни: поради IT-фахівців

Олексій Панасюк 28 липня 2022 14:30