Специалисты “Лаборатории Касперского” зафиксировали в России первые DDoS-атаки типа WordPress Pingback, реализованные через защищенные шифрованием соединения. Данный метод атак начал приобретать популярность у злоумышленников в третьем квартале 2016 г. По мнению экспертов, использование шифрования помогает киберпреступникам обойти большинство защитных решений и тем самым увеличить эффективность атак.
Все зафиксированные атаки были направлены на сайт “Новой газеты”. По данным специалистов, атакующие эксплуатировали уязвимости платформы WordPress. Первые атаки типа WordPress Pingback были зафиксированы в 2014 г. Суть метода заключается в том, что в качестве атакующих серверов используются сайты под управлением WordPress CMS с включенным режимом Pingback, предназначенным для автоматического оповещения авторов об обновлениях в сообщениях. Злоумышленник отправляет на такие сайты специально сформированный HTTP-запрос с ложным обратным адресом (адресом жертвы), на который сервер отправляет ответы. Атака формируется из десятков подобных ответов, в результате чего возникают сбои в работе web-ресурса жертвы.
Основное отличие DDoS-атаки на сайт “Новой газеты” от приведенной выше классической схемы заключалось в шифровании трафика, направленного на ресурс. Как пояснил эксперт “Лаборатории Касперского” Алексей Киселев, применение шифрования значительно усложняет обнаружение и отражение атаки, поскольку требуется расшифровка трафика для определения чистый он или “мусорный”. Кроме того, подобная атака создает большую нагрузку на атакуемый сайт. Наконец, еще одна сложность заключается в том, что современные механизмы шифрования не предоставляют доступ к содержимому трафика третьей стороне. (Касперский/NovostIT)
