Дело в «железе». Очередной провайдер подвергся DDoS-атаке

Петербургский интернет-провайдер AirNet днем 30 июля подвергся масштабной DDoS-атаке. Для ее отражения пришлось подключать специалистов подведомственной структуры Роскомнадзора.

Подобные действия различной степени успешности хакеры осуществляют с завидной периодичностью. Их целью становились крупнейшие региональные интернет-провайдеры по всей России. Технические эксперты в беседе с Mashnews объяснили причины, из-за которых инфраструктура операторов не может справиться с DDoS-атакой.

Семь миллионов пакетов в секунду

Первые сообщения о сбое в работе провайдера начали появляться после обеда в среду, 30 июля. Mashnews обратился за комментарием в службу поддержки AirNet.

«Наша сеть подверглась DDoS-атаке от группы IT Army of Ukraine. Мы заручились поддержкой от коллег из магистрального провайдера и подразделения Роскомнадзора. Услуги работают в штатном режиме, но могут наблюдаться снижение скорости и недоступность некоторых ресурсов, в связи с тем, что ведется работа по фильтрации входящего трафика и блокировка вредоносных ресурсов», — ответили на вопросы нашего корреспондента.

В Роскомнадзоре уточнили, что 30 июля 2025 года в 12:39 Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) зафиксировал DDoS-атаку на инфраструктуру интернет-провайдера AirNet. Атака достигла максимальной мощности в 66 Гбит/с и скорости 7,05 миллионов пакетов в секунду.

«Специалисты ЦМУ ССОП оказывают AirNet помощь в защите от этой кибератаки, используя возможности Национальной системы противодействия DDoS-атакам. По информации, подтвержденной AirNet, все сервисы функционируют и предоставляют услуги клиентам», — ответили в Роскомнадзоре на вопросы Mashnews.

Источники атаки находятся в США, Германии, Индонезии и Нидерландах, добавили в Роскомнадзоре. Злоумышленники целенаправленно атаковали критически важную инфраструктуру провайдера. По состоянию на 17:00 среды (30 июля) кибератака продолжалась.

СПРАВКА MASHNEWS

Под брендом AirNet работает ООО «Санкт-Петербургские Компьютерные сети», которому принадлежат соответствующие домен и товарный знак. В 2024 году выручка компании составила 90 млн рублей, прибыль — 3,1 млн.
DDoS-атака — ситуация, когда на сервер отправляется большое число запросов с той целью, чтобы сервис (сайт) перестал работать или возникли проблемы с доступом. Современные технологии шагнули вперед — теперь такие атаки происходят в автоматизированном режиме, запросы могут направляться с десятков и сотен компьютеров. Длительность бывает разная: в истории российского интернета встречались и 300-часовые перебои.
IT Army of Ukraine — группировка ИТ-специалистов со всего мира, которые после начала СВО объединились для осуществления враждебных действий в отношении России.
Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) создан на базе ФГУП «Главный радиочастотный центр» (подведомственная структура Роскомнадзора) постановлением Правительства РФ от 13 февраля 2019 года № 136. В его задачи в том числе входит управление и эксплуатация технических средств противодействия угрозам, установленных у оператора связи.
Национальная система противодействия DDoS-атакам создана для защиты критически важных и социально значимых интернет-ресурсов от DDoS-атак.

От Петербурга до Красноярска

Это далеко не первая DDoS-атака на российского регионального интернет-провайдера. За последние три года большинство операторов связи пострадали от действий зарубежных хакеров.

В апреле 2024 года целью злоумышленников стал крупный региональный провайдер «Уфанет» из Уфы. DDoS-атака длилась несколько дней.

В сентябре 2024 года атаке подвергся петербургский провайдер «Невалинк». Она длилась 40 часов, для ее отражения также подключились специалисты из ЦМУ ССОП. Спустя два месяца, в ноябре, хакеры атаковали все тот же AirNet.

А уже в июне этого года атаке подвергся интернет-провайдер «Орион телеком» из Красноярска. Тогда ситуация оказалась крайне серьезной, поскольку оператор связи сообщил о возможной утечке персональных данных и попросил клиентов поменять пароли.

Проблема DDoS-атак стала настолько серьезной, что ее постоянно обсуждают на отраслевых конференциях с участием представителей власти и игроков телеком-рынка, разбирая каждый прецедент по пунктам.

Согласно исследованию StormWall, количество DDoS-атак в 2024 году в мире выросло на 108% по сравнению с 2023 годом. Таким образом, показатель практически удвоился всего за один год.

Россия оказалась на восьмом месте среди самых атакуемых стран в 2024 году. С тем же показателем (7,3% от всех DDoS-атак) РФ в 2023 году находилась на седьмой позиции рейтинга. Число атак в России в 2024 году выросло на 45% по сравнению с 2023 годом. Самые сильные всплески атак в 2024 году произошли в марте, мае, июле, сентябре и ноябре.

Ущерб российской экономики от кибератак, совершенных в 2023 и 2024 годах, может составить 1 трлн рублей, прогнозировал в ноябре 2024 года зампред правления Сбербанка Станислав Кузнецов. Средний ущерб компаний от DDoS-атаки оценивается в 600 тыс. рублей в день.

Атаки типа DDoS могут быть направлены на разные уровни инфраструктуры, отметил в беседе с Mashnews руководитель отдела технической поддержки продаж UDV Group Александр Уляхин.

«Если речь идет об атаке на приложение, то для защиты используются различные программные и программно-аппаратные средства, но если речь идет об атаке на аппаратную часть, то эффективней всего защита выстраивается за счет наращивания аппаратных мощностей для фильтрации вредоносных запросов. Отсутствие у провайдеров доступа к такому оборудованию или сервисам, предоставляющим их как услугу, действительно может привести к успешной реализации атаки», — пояснил эксперт.

Роль эксплойтов

Немаловажное значение в организации успешного взлома инфраструктуры интернет-провайдера и кражи персональных данных играют так называемые эксплойты.

Эксплойт — это программный код или технический прием, который использует уязвимость в ПО или прошивке для выполнения вредоносных действий, объяснил Mashnews проджект менеджер MD Audit (ГК Softline) Кирилл Лёвкин. По словам эксперта, такими действиями могут быть, например, обход авторизации, выполнение команд без прав, захват контроля над устройством или доступ к данным. Эксплойты бывают публичными (известными) и приватными (находятся в закрытом обороте), уточнил Лёвкин.

«Представьте себе дом, в котором забыли закрыть окно. Эксплойт — это не само окно, а инструкция, как в него незаметно залезть. Злоумышленники находят или покупают эксплойты и используют их для проникновения в системы: крадут данные, внедряют вредоносное ПО, подкупают сотрудников компаний, тем самым получая несанкционированный доступ», — дополнил коллегу технический директор «Инферит Облако» (ГК Softline) Сергей Андриевский.

Чаще всего к эксплойтам можно отнести уязвимости в прошивках, слабые пароли, ошибки в сетевых протоколах или даже backdoor-функции, где некоторые производители оставляют скрытые учетные записи или отладочные интерфейсы, отметил глава представительства Totolink в России, эксперт департамента ИТ ФГУП «Российская телевизионная и радиовещательная сеть» Дмитрий Акиньшин.

«Безусловно, если служба информационной безопасности (ИБ) следит за своим хозяйством, регулярно обновляет устройства и политики, то риск доступа кратно уменьшается, но никогда не равен нулю. Обновления ПО должны проходить регулярно и проверяться ИБ перед установкой на наличие недокументированных возможностей (например, бэкдоров)», — пояснил Акиньшин.

Старое «железо»

Все эксперты отметили, что косвенно на организацию успешной DDoS-атаки может повлиять износ оборудования. В основном роль играют задержка его обновлений, ограничение доступа к современным серверам, маршрутизаторам и системам фильтрации, говорит директор «Инферит ОС» (ГК Softline) Ирина Назаренко.

«Технологии развиваются каждый день, возрастает потребность в увеличении мощностей для отражения DDoS-атак. Если старые маршрутизаторы и серверы перестают справляться с большим объемом трафика, например, не поддерживают современные методы фильтрации BGP Flowspec или аппаратное ускорение, то вероятность успешных DDos-атак выше», — подчеркнула Назаренко.

Она добавила, что в сети уже давно есть ресурсы, содержащие эксплойты для известных уязвимостей, и чем старше уязвимость, тем легче для нее найти нужный эксплойт. Получается, для взлома не требуется глубоких технических познаний, достаточно просто скачать и запустить конкретный эксплойт. Поэтому обновляя свои системы, владельцы сильно ограничивают круг атакующих лиц, отметила эксперт.

По словам Назаренко, чтобы системы были в большей безопасности, нужно обновлять программное обеспечение и операционную систему — даже если официальная поддержка прекращена, можно перейти на более новую версию. Кроме этого, нужно использовать изолированные сети, отключать ненужные сервисы, применять фаерволы и антивирусы, а также заменить устаревшее оборудование.

DDoS-атаки не связаны с износом сетевого оборудования, и сейчас провайдеры при необходимости могут заменить оборудование на отечественные аналоги, считает руководитель дивизиона киберзопасности «Софтлайн Решения» (ГК Softline) Андрей Найденов. «В случае с сетевым оборудованием успешность DDoS-атаки связана с правильной настройкой оборудования и его техническими характеристиками, а также с действиями регулятора, который может помочь справиться с нагрузкой на сеть», — уточнил эксперт.

Чем старее оборудование, тем эффективнее могут проводиться DDoS-атаки, считает Дмитрий Акиньшин. Это связано с ограниченной производительностью старых устройств, которые имеют старые процессоры и недостаточный объем памяти, из-за чего быстрее достигают предела пропускной способности или числа обрабатываемых соединений. Помимо этого, в старом «железе» могут отсутствовать современные механизмы защиты — например, аппаратные ускорения защиты от DDoS, продвинутые методы анализа трафика на основе машинного обучения или поведенческого анализа и протоколы автоматической фильтрации.

«Из-за ухода большинства западных производителей ушла также и техподдержка, что делает невозможным оперативное обновление прошивок и устранение уязвимостей в устаревшем оборудовании. Таким образом, если вовремя не реагировать на текущие реалии рынка, рано или поздно можно остаться у разбитого корыта с «железом» без адекватной поддержки», — добавил Акиньшин.

Помощь этичных хакеров

Главная защита от эксплойтов и уязвимостей — это регулярные обновления и быстрая реакция на новые угрозы, говорит Сергей Андриевский. Если обновляться невозможно, то надо хотя бы сегментировать сеть и ограничивать доступ, чтобы минимизировать урон. Но в идеале надо переходить на современное, управляемое оборудование.

По словам Дмитрия Акиньшина, все вопросы может решить сильная служба информационной безопасности. Важно держать в поле зрения все возможные каналы потенциального несанкционированного доступа, вести политику регулярной смены паролей, проводить анализ поведенческих аномалий и мониторинг аномального трафика, анализировать и фильтровать вредоносные запросы, настроить резервирование и балансировку нагрузки.

«Также не лишним будет проводить регулярные стресс-тесты на систему и, возможно, объявить bug bounty за поиск уязвимостей в своей инфраструктуре. Осталось дело за малым — выделить бюджет на серьезный аудит ИБ и придерживаться правил», — резюмировал Акиньшин.

СПРАВКА MASHNEWS

Bug bounty — программа, в ходе которой компания за вознаграждение привлекает сторонних специалистов по безопасности (так называемых «белых» или «этичных» хакеров) для тестирования своего программного обеспечения. В России такая программа действует в том числе под эгидой Минцифры.