Pēdējo nedēļu laikā kļuvuši aktuāli naudas izspiešanas mēģinājumi, draudot apturēt uzņēmuma mājas lapu vai citu resursu, kas nodrošina uzņēmuma darbību. Šāda veida uzbrukumi vienlaicīgi notiek vairākās Eiropas valstīs. Naudas izspiešanas mēģinājumi mērķēti gan uz finanšu institūcijām, gan uz citiem privātā sektora uzņēmumiem.
Kā darbojas uzbrucējs?
Uzbrucējs izsūta draudu e-pastu, kurā uzdodas par Armada Collective, Cozy Bear, Fancy Bear vai Lazarus Group, un pieprasa maksājumu uz Bitcoin kriptovalūtas maciņu. Atteikuma gadījumā sola apturēt uzņēmuma darbību, veicot liela apjoma izkliedēto piekļuves lieguma (DDoS) uzbrukumu. Iebiedēšanas nolūkos noziedznieki veic testa uzbrukumu (20-100 Gbps), pēc kura izsūta atkārtotu brīdinājumu par vēl apjomīgāku uzbrukumu (pēc noziedznieku vārdiem – līdz 2 Tbps), ja netiks veikts maksājums.
Uzbrukuma datu plūsma tiek ģenerēta, izmantojot virkni UDP-bāzētu protokolu: DNS, NTP, CLDAP, WS-Discovery, GRE, SNMP, pielietojot plūsmas amplifikāciju, lai palielinātu atteices efektu un slēptu patiesos uzbrukuma avotus. Bieži vien, neskatoties uz biedējošiem e-pastiem, atkārtoti uzbrukumi neseko, un gadījumā, ja pieprasītais izpirkums netiek samaksāts, uzbrucēji maina mērķi.
Novēroto uzbrukumu apjoms strauji pieaug – septembra beigās Eiropā fiksēti uzbrukumi, kas pārsniedza 100 Gbps, taču jāņem vērā, ka realizētie uzbrukumi neilgst vairāk par dažām dienām (biežāk – mazāk par stundu). Ja uzbrukuma mērķis nav izrādījis vēlmi “sadarboties” un nemaksā, uzbrucēji pārvirza uzmanību un resursus uz nākamo mērķi.
Ko iesaka CERT.LV?
- Nekomunicēt ar izspiedējiem un nemaksāt izpirkuma maksu, jo tas neatturēs uzbrucējus, bet tieši pretēji – veicinās atkārtotus uzbrukumus nākotnē, jo būs gūts apliecinājums, ka attiecīgais mērķis ir spējīgs un gatavs maksāt.
- Izstrādāt rīcības plānu piekļuves lieguma uzbrukumu gadījumiem.
Rīcības plānam būtu jāiekļauj šādi soļi:
- Apzināt uzņēmuma resursus, kas ticamāk varētu tikt pakļauti šāda veida uzbrukumiem (parasti – mājaslapa, API serveri, DNS serveri u.c.).
- Noskaidrot iespējas iegādāties DDoS aizsardzības risinājumu no sava internet pakalpojumu sniedzēja. Automatizēti DDoS aizsardzības rīki lielākoties tiks galā ar kaitīgo datu plūsmu, kā arī spēs novērst sarežģītus uzbrukumus, izmantojot datu plūsmas attīrīšanu.
- Spēt vajadzības gadījumā operatīvi migrēt mājas lapu (vai citu svarīgo resursu) uz DDOS uzbrukumu noturīgu mākoņpakalpojumu kā Cloudfare, Amazon, Akamai vai citu – pilnīgi vai daļēji (CDN / “reverse proxy” režīmā).
Jāņem vērā mākoņpakalpojuma aktuālais piedāvājums – gan tehniskais (kāda veida aizsardzība iekļauta), gan finansiālais.
Mākoņpakalpojumu var aizstāt arī ar pašu spēkiem nodrošinātu slodzes izlīdzinošu (load balancing) risinājumu – piemēram, uz nginx vai HAProxy bāzes, bet jāpievērš uzmanība tam, lai:- gala (edge) serveri atrastos dažādos datucentros ar neatkarīgiem tīkla pieslēgumiem,
- datu centru interneta pieslēgumi spētu apstrādāt lielāku datu plūsmu, nekā sagaidāmais DDoS apjoms,
- nepieciešamības gadījumā šos serverus varētu ātri aizvietot, pielāgojoties nepieciešamajiem datu apjomiem (auto-scaling),
- pēc iespējas balansēt datu plūsmu – ja vairums klientu parasti nāk no zināma reģiona (piem., Latvijas), var veikt datu plūsmas balansēšanu DNS līmenī, t.i. pamatreģiona lietotājus novirzīt uz citiem serveriem, nekā lietotājus, kas slēdzas no citiem reģioniem, sagaidot, ka vairums DDoS datu plūsmas iekļausies otrajā grupā.
Izmantot kādamraides tehnoloģiju (anycast) – servisu uzturot vairākos datu centros un veicot datu plūsmas balansēšanu BGP (Border Gateway Protocol) līmenī.
- DNS zonā norādīt pietiekami mazu TTL (time to live), lai nepieciešamības gadījumā veiktās izmaiņas laicīgi stātos spēkā.
- Noskaidrot, kādu palīdzību var sniegt Internet Pakalpojumu sniedzējs, piemēram:
- vai internet pakalpojumu sniedzējs var daļēji atslēgt resursu, kam uzbrūk, no tiem starpsavienojumiem, caur kuriem nāk uzbrukums, saglabājot pieslēgumu, piemēram, tikai Latvijas lietotājiem. Īpaši gadījumā, ja jums ir sava autonomā sistēma un interneta pakalpojumu sniedzēja neatkarīgs IP adrešu apgabals.
- izflirtēt “slikto“ datu plūsmu (piem., mājaslapas gadījumā – iespējams var filtrēt visu UDP datu plūsmu vai arī ierobežot pieprasījumu skaitu atipiski lielām [>= 400 bytes] UDP paketēm, kas var liecināt paramplifikācijasuzbrukumu).
Jebkurš uzņēmums, iestāde vai organizācija var kļūt par šādu uzbrukumu mērķiem. Kamēr būs upuri, kuri maksās uzbrucējiem, šis biznesa modelis nekur nepazudīs. Tādēļ ir svarīgi apzināties savas rīcības ietekmi un laicīgi apzināt riskus un to novēršanu.