Эксперты отметили рост числа сетевых атак с российских IP-адресов

Компания Qrator Labs, оказывающая услуги сетевой безопасности, выпустила отчёт о ситуации с DDoS-атаками на российскую IT-инфраструктуру по итогам 2023 года. Как сообщает «Ъ», ознакомившийся с документом, хакеры научились успешно обходить блокировки по GeoIP (блокировка трафика по его географическому происхождению) и существенная часть кибератак теперь генерируется локальными источниками, близкими к региону жертв.

Атаки все еще реализуются издалека, но с использованием устройств в России, поясняют в Qrator Labs. В то же время общее число заблокированных IP-адресов, по данным компании, достигло максимума к концу 2023 год: за четвертый квартал заблокировано 22,3 млн адресов. Рост составил 19,25% к третьему кварталу и 120% ко второму. Оценки за первый квартал не приводятся. В 2022 году компания не проводила подобные замеры.

Злоумышленники используют «серые прокси-серверы, размещенные в России», отмечает менеджер продукта Qrator Labs Георгий Тарасов:

«Результат — вредоносный трафик ассоциируется с не вызывающими подозрения IP-адресами с геопривязкой к РФ».

В качестве прокси-серверов может использоваться взломанное сетевое оборудование домашнего интернета и хостингов в России, уязвимые устройства IOT и мобильные гаджеты, уточняет эксперт.

Число заблокированных IP-адресов достигло максимума к концу прошлого года. Так, за четвертый квартал было заблокировано 22,3 млн адресов, что на 19,25% больше в сравнении с третьим и на 120% — со вторым кварталом, говорится в отчете.

Возможность аренды недорогих мощностей у российских структур делает атаки дешевле для злоумышленников, отмечает гендиректор хостинг-провайдера RUVDS Никита Цаплин. В компании увидели рост спроса на самые недорогие виртуальные серверы.

Собеседник издания на телеком-рынке опасается, что ситуация может привести к введению ответственности хостинг-провайдеров за использование их мощностей в противоправных целях.

В конце октября 2023 года в Роскомнадзоре сообщили о намерении разработать собственную базу данных геолокации IP-адресов, затем эта норма была отражена в правительственной «Стратегии развития отрасли связи на период до 2035 года». В ведомстве отметили, что пока популярнее всего иностранные источники информации о географической принадлежности сетевых адресов.

Здесь также стоит напомнить, что закон о так называемом «суверенном Рунете» принимался как защитная мера от «внешнего воздействия». Но в документе изначально формулировки угроз были описаны очень размыто, а эксперты (в том числе «Роскомсвобода») предупреждали, что попытки взять под контроль Рунет не приведут к повышению уровня безопасности, а скорее наоборот — сделают его более уязвимым ввиду явно централизационного характера. В итоге принятые в рамках этого закона меры оказались больше направлены на дальнейшее усиление цензуры, но уровень защищённости, в том числе от внешних угроз, при этом не вырос.