Сразу несколько западноевропейских провайдеров сообщили о DDoS-атаках на их DNS-инфраструктуру. Возможно, тут орудовали те же хакеры, которые ранее шантажировали такими же атаками финансовые учреждения и платёжные сервисы.
300 гигабайт мусора в секунду
Более десятка европейских провайдеров сообщили о загадочных DDoS-атаках, направленных на их DNS-инфраструктуру.
Среди пострадавших — бельгийский телеком-оператор EDP, французские компании Bouygues Télécom, FDN, K-net, SFR, а также голландские операторы Caiway, Delta, FreedomNet, Online.nl, Signet и Tweak.nl.
Атаки продолжались не более одного дня: пострадавшим компаниям в итоге удавалось отфильтровать их, однако злоумышленникам все же успешно удавалось в течение некоторого времени парализовать работу этих операторов.
Представители некоммерческой организации NBIP, созданной несколькими голландскими интернет-провайдерами для совместной обороны от DDoS-атак, заявили, что атаки были направлены также против маршрутизаторов; большинство из них относились к типу LDAP или использовали DNS-усиление. Интенсивность достигала 300 гигабит в секунду.
Атаки начались 28 августа 2020 г. Как пишет ZDNet, буквально накануне это издание опубликовало сведения о киберкриминальной группировке, которая шантажирует DDoS-атаками финансовые учреждения по всему миру. Среди объектов шантажа оказались MoneyGram, YesBank India, Worldpay, Braintree, Venmo и PayPal.
Возвращение старых знакомых?
Хотя у редакции ZDNet нет твёрдых доказательств, что атаки на провайдеров производит одна и та же группировка, нападения на финансовые учреждения прекратились одновременно с началом DDoS-атак на провайдинговые фирмы.
При этом, по данным источников ZDNet, та же группировка, что атаковала PayPal и другие финансовые сервисы, несколькими неделями ранее терроризировала провайдеров в юго-восточной Азии.
Ряд экспертов, опрошенных ZDNet, отметили, что массированный сбой в функционировании CenturyLink также является следствием DDoS-атаки — первой из числа тех, что постигли европейских провайдеров в последующие дни. С другой стороны, Cisco и Cloudflare заявили, что источником проблемы была неправильная настройка политик в Flowspec, инструменте для нейтрализации DDoS-атак.
«Никаких сомнений в том, что эти атаки имели конкретную цель, и не были следствием киберхулиганства, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services.
Увы, нет пока информации о том, получали ли провайдеры какие-либо требования и угрозы до атак — или после. Если нет, то это может быть демонстрация силы и проверка функциональности DDoS-инструментария».
