В конце прошлой недели, вы наверняка читали новости из мира фантастики:
«Эксперты по кибербезопасности зафиксировали в конце прошлого года DDoS-атаку крупнейшего за 2021 год ботнета - сеть из 160 000 зараженных устройств. Атака была направлена на ретейл, а ее целью могла быть конкурентная разведка, отмечают эксперты.»
В чем здесь косяк?
Первое - теория
DDoS атака используется в случаях «завалить сервис», т.е. довести его до состояния, когда он «зависнет» или когда надо скрыть компрометацию сети, т.е. нечто в роде «дымовой завесы».
Второе - измерения
DDoS атака не измеряется количеством хостов, входящих в ботнет, а измеряется нагрузкой, которую может создать эта сеть. Для пояснения новость, тоже вчерашняя, которая правильно описывает DDoS атаку:
«По данным Microsoft, в ноябре неназванный клиент Azure в Азии стал мишенью DDoS-атаки с пропускной способностью 3,47 Тбит/с и скоростью передачи пакетов 340 млн пакетов в секунду (pps).»
Чувствуете разницу?
Третье - «Конкурентная разведка»
А-чу-меть! «Конкурентная война» или «Вывести из строя сервисы конкурента» - это понятно. А «разведка», да еще с «похищением аналитических данных» - это говорит, что конкурента сломали, в его сети злоумышленники делали все, что хотели, безопасники даже ухом не вели, слили данные и все прикрыли DDoS атакой.
Какая же это «разведка»? Разведка была еще до того, как злоумышленник в сеть попал. Провел исследования, собрал данные для проникновения и хакнул сеть компании.
Четвертое - журналистика
Так называемый «отчет» Qrator Labs, который я не смог найти, чудом попал журналисту «Ъ». Тот слепил заметку (https://www.kommersant.ru/doc/5183610), с использованием огромного количества слов в превосходной степени. Так учат журналистов статьи царапать: нельзя писать «новый», надо писать «новейший». А дальше свое дело сделал «вирус хайпа». Журналист «Ъ» наверняка получил бонусы от Qrator Labs за эту «статью». Хотя никакой пользы от этой статьи нет.
Пятое - ностальгия
В далеком предалеком 2010 году, когда админил один ресурс, пережил многодневную DDoS атаку. Атака была организована конкурентом, осерчал он малость и хотел просто завалить сервер. Мне дали контакт Group IB и ребята очень быстро взяли под защиту сервер. Работа по мировым стандартам: «слово» дороже подписанной бумаги. Сначала они взяли сервер под защиту, стали фильтровать весь трафик, а затем мы перешли к оформлению всяких бумаг.
Для справки: в атаке 2010 года какого размера использовался ботнет сейчас уже не скажу, но кол-во хостов было большое. Атака забила весь канал в ЦОД. И уже тогда Group IB умели фильтровать трафик за какие-то 10 т.р. в месяц.
Шестое - вывод
Сегодня Group-IB выживают из бизнеса инфосека по политическим мотивам и Qrator Labs решили подсуетиться, втиснуться в образующуюся пустоту. А в конкурентной борьбе, как известно, все методы хороши.
