Спецпроекты

Загадочные DDoS-атаки «положили» ряд европейских провайдеров

Безопасность Стратегия безопасности Интернет
Сразу несколько западноевропейских провайдеров сообщили о DDoS-атаках на их DNS-инфраструктуру. Возможно, тут орудовали те же хакеры, которые ранее шантажировали такими же атаками финансовые учреждения и платёжные сервисы.

300 гигабайт мусора в секунду

Более десятка европейских провайдеров сообщили о загадочных DDoS-атаках, направленных на их DNS-инфраструктуру.

Среди пострадавших - бельгийский телеком-оператор EDP, французские компании Bouygues Télécom, FDN, K-net, SFR, а также голландские операторы Caiway, Delta, FreedomNet, Online.nl, Signet и Tweak.nl.

Атаки продолжались не более одного дня: пострадавшим компаниям в итоге удавалось отфильтровать их, однако злоумышленникам все же успешно удавалось в течение некоторого времени парализовать работу этих операторов.

Представители некоммерческой организации NBIP, созданной несколькими голландскими интернет-провайдерами для совместной обороны от DDoS-атак, заявили, что атаки были направлены также против маршрутизаторов; большинство из них относились к типу LDAP или использовали DNS-усиление. Интенсивность достигала 300 гигабит в секунду.

Атаки начались 28 августа 2020 г. Как пишет ZDNet, буквально накануне это издание опубликовало сведения о киберкриминальной группировке, которая шантажирует DDoS-атаками финансовые учреждения по всему миру. Среди объектов шантажа оказались MoneyGram, YesBank India, Worldpay, Braintree, Venmo и PayPal.

Возвращение старых знакомых?

Хотя у редакции ZDNet нет твёрдых доказательств, что атаки на провайдеров производит одна и та же группировка, нападения на финансовые учреждения прекратились одновременно с началом DDoS-атак на провайдинговые фирмы.

ddoshack600.jpg
Сразу несколько западноевропейских провайдеров заявили о DDoS-атаках на их DNS-инфраструктуру

При этом, по данным источников ZDNet, та же группировка, что атаковала PayPal и другие финансовые сервисы, несколькими неделями ранее терроризировала провайдеров в юго-восточной Азии.

Ряд экспертов, опрошенных ZDNet, отметили, что массированный сбой в функционировании CenturyLink также является следствием DDoS-атаки - первой из числа тех, что постигли европейских провайдеров в последующие дни. С другой стороны, Cisco и Cloudflare заявили, что источником проблемы была неправильная настройка политик в Flowspec, инструменте для нейтрализации DDoS-атак.

«Никаких сомнений в том, что эти атаки имели конкретную цель, и не были следствием киберхулиганства, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Увы, нет пока информации о том, получали ли провайдеры какие-либо требования и угрозы до атак - или после. Если нет, то это может быть демонстрация силы и проверка функциональности DDoS-инструментария».