ИБ-эксперт Хлебунов: украинские хакеры проводят DDoS-атаки с территории РФ
true true true Украинские хакеры проводят массовые DDoS-атаки на РФ, используя для этого российские же устройства. В 2025 году до 80% DDoS-трафика, обрушившегося на российские предприятия, было сгенерировано в России. Украинцы арендуют на территории страны серверы и после используют их для атак. Такая схема позволяет хакерам обходить защитные системы российских компаний, которые блокируют иностранный трафик. Подробности — в материале «Газеты.Ru».
«Доля чрезвычайно большая»
Специалисты по информационной безопасности (ИБ) по-разному оценивают масштаб проблемы. Так, например, по данным директора по продуктам компании Servicepipe Михаила Хлебунова, в первой половине 2025 года до 80% объема зарегистрированного фирмой DDoS-трафика шло из «российской зоны». В 2024 году, по его словам, доля была ниже — «чуть больше 60%».
Руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда» Алексей Семенычев заявил, что в 2025 году, по их метрикам, доля зарегистрированных DDoS-атак на Россию из России превысила 50%.
В свою очередь ведущий инженер StormWall, одной из крупнейших российских компаний, специализирующихся на отражении DDoS, Артем Артамонов отметил, что за первое полугодие 2025-го, по их данным, около 5,5 млн DDoS-атак было инициировано с российских устройств — это более 33% от всех отраженных атак за период. Если говорить об объеме, то доля российского DDoS-трафика составила около 30%.
«В 2023 году объем трафика с российских IP-адресов составлял 32%. В 2024 году — свыше 50%. Хотя по итогам первого полугодия 2025 года мы можем говорить о снижении доли, она все равно остается чрезвычайно большой», — сказал Артамонов.
Наличие проблемы в разговоре с «Газетой.Ru» подтвердил и топ-менеджер одного из крупнейших российских банков.
«Самый простой механизм защиты от DDoS-атак — это защита по геопризнаку. Когда мы видим, что вредоносный трафик идет из-за рубежа, мы его просто отсекаем, и атака не достигает своей цели. Украинцы очень быстро поняли, что при таких механизмах противодействия их атаки перестали быть эффективными. Поэтому они начали прилагать большие усилия в поисках точек запуска атак с территории России. И сегодня, к сожалению, эффективны именно те атаки, большая часть источников которых находится именно на территории РФ», — объяснил собеседник «Газеты.Ru».
Стоит отметить, что данные ИБ-компаний отличаются из-за разного числа защищаемых клиентов. Кроме того, сферы бизнеса, к которым относятся клиенты, также различны. Тем не менее их ответы подтверждают, что тенденция существует и, скорее всего, количество атак даже увеличивается.
Идеальное прикрытие
DDoS-атака — это множество запросов к серверу целевого онлайн-ресурса, которые он не успевает обработать. Для генерации запроса нужно устройство, подключенное к интернету. У каждого такого устройства есть уникальный идентификатор — IP-адрес. Он содержит информацию о стране и ближайшем городе, где находится устройство. Один из главных рубежей в защите российских компаний от DDoS-атак — запрет на обработку запросов от иностранных устройств при всплесках входящего трафика.
Хакеры обходят это ограничение с помощью получения контроля над подключенными к интернету устройствами в России. Для этого украинские и проукраинские хакеры пользуются услугами провайдеров виртуальных серверов: Virtual Private Server (VPS, виртуальный частный сервер) и Virtual Dedicated Server (VDS, виртуальный выделенный сервер).
«Злоумышленники часто используют подставные личные данные или украденные банковские карты для оплаты этих услуг. Некоторые провайдеры слабо проверяют новых клиентов, что и упрощает хакерам запуск атак с их инфраструктуры», — сказал «Газете.Ru» ведущий инженер компании из сферы облачных услуг CorpSoft24 Михаил Сергеев.
Физически VPS и VDS представляют собой серверы на территории России, которые контролируются хостинг-провайдерами. Хостинг-провайдеры сдают их в аренду за ежемесячную плату. Арендатор получает удаленный доступ к серверу с российскими IP-адресами в виде интерфейса, например, Windows. Такой рабочий стол Windows и называется «виртуальной машиной» или «виртуальным сервером».
В случае с VPS, пользователь получает доступ лишь к части мощности сервера, а в случае с VDS — ко всей. При этом, в зависимости от провайдера, один пользователь может арендовать до 100 единиц VPS, каждая из которых будет представлять собой отдельный компьютер. В случае с VDS пользователь сам может разбить мощность сервера на сегменты. Украинские хакеры устанавливают на такие виртуальные машины ПО для проведения DDoS-атак на российские организации и обходят их защиту по геопризнаку.
«Когда мы фиксируем DDoS-атаку с российских IP-адресов, первым делом определяем, какой это VPS/VDS-провайдер. В 90% случаев это либо дешевые хостинги со слабой модерацией пользователей, либо взломанные серверы у крупных игроков», — рассказал Артем Артамонов из StormWall.
Взломы — еще один источник серверов с российскими IP-адресами, которые хакеры используют для DDoS-атак на РФ. VPS/VDS часто используются владельцами различных сайтов, поскольку аренда виртуальной машины зачастую обходится дешевле покупки собственного сервера. При этом, по словам Артамонова, многие сайты управляются ПО с уязвимостями, которые позволяют злоумышленникам захватывать арендованные кем-то VPS/VDS.
«За счет эксплуатации одной и той же уязвимости на разных сайтах злоумышленники могут одновременно получить доступ к большому количеству серверов VPS/VDS. Как вариант — через известные уязвимости в системах управления сайтами (CMS) вроде Bitrix и WordPress», — пояснил эксперт.
При этом хакерам, которые решили организовать DDoS, далеко не всегда приходится что-то взламывать самостоятельно — в даркнете продаются доступы к уже скомпрометированным VPS/VDS. Более того, есть специальные хакерские хостинг-провайдеры, которые умышленно сдают злоумышленникам сервера в аренду, зная, что они будут использованы для киберпреступлений.
«Я из любой точки мира могу запустить в России сервер, который может использоваться в киберпреступных целях. Я через интернет покупаю сервер, делаю юрлицо по подставным документам, нанимаю человека, который регистрирует сервер и занимается другими формальностями. Все. Железка буквально может стоять у кого-то в гараже, а я в Европе — сдавать ее кому угодно в аренду. Ответственности никакой. Тот, кто работал на меня, работал по доверенности: он не знал, кто я, что я и для чего поднимаю сервер», — рассказал «Газете.Ru» хакер, который раньше сам выступал хостинг-провайдером для киберпреступников.
Приемы против лома
Хотя DDoS-атаки, запущенные из России, отразить действительно сложнее, специалисты по информационной безопасности, да и сами хостинг-провайдеры, сдающие в аренду VPS и VDS, уже выработали методику борьбы с ними. Например, по словам Артема Артамонова из StormWall, при обнаружении DDoS-атаки, источником которой является российский VPS/VDS-провайдер, они сразу связываются с этой компанией, и она блокирует вредоносный трафик.
«Если провайдер — наш клиент, то мы сами блокируем его вредоносный трафик с помощью наших систем фильтрации. Если провайдер сторонний, мы сразу направляем ему уведомление с данными об атаке. Надежные провайдеры молниеносно останавливают виртуальные машины, генерирующие атаку», — сказал он.
При этом, по словам Артамонова, есть и те, кто игнорирует такие уведомления. В таких случаях StormWall вносит атрибуты провайдера в черные списки своих фильтров, после чего весь его трафик автоматически блокируется. Кроме того, информация о таком провайдере передается в Роскомнадзор. В качестве немедленной меры РКН может передать российским операторам связи атрибуты провайдера-нарушителя для его полной блокировки посредством технических средств противодействия угрозам (ТСПУ).
«Проблема в том, что большинство DDoS-атак идут с сомнительных хостингов, которые могут быть зарегистрированы незаконными способами и принимают оплату биткоинами», — добавил Артамонов.
Некоторые хостинг-провайдеры также обладают инструментами для самостоятельного выявления и блокировки злоумышленников, которые используют их VPS/VDS для DDoS-атак. Не все, потому что подобные системы зачастую стоят дорого и не приносят прибыли бизнесу.
«Провайдеры могут отслеживать аномальные шаблоны трафика, нетипичную нагрузку, использование нестандартных портов, массовые исходящие соединения или попытки сканирования. Однако для этого нужны ресурсы, автоматизированные средства мониторинга и ИБ-экспертиза. Не все провайдеры готовы инвестировать в такие меры», — сказал «Газете.Ru» проджект-менеджер компании MD Audit (входит в группу компаний Softline) Кирилл Лёвкин.
В свою очередь Михаил Сергеев из CorpSoft24 добавил, что атаки с VPS/VDS часто маскируются под легитимную активность. Поэтому даже со средствами мониторинга хостинг-провайдеры часто принимают меры только после жалоб со стороны атакованных организаций.
«Мы неоднократно выносили эту проблему на обсуждение с правоохранительными органами Это важная зона роста, которую мы еще не полностью освоили в стране», — заявил «Газете.Ru» топ-менеджер одного из крупнейших российских банков.
«Газета.Ru» направила запрос в Роскомнадзор.
Что думаешь? Комментарии
