Эксперты рассказали о новой схеме атак на приложения
Бот-атака с необычным сценарием исполнения произошла с 13 по 19 марта на приложение одной из крупных российских авиакомпаний. Более 2,5 тыс. отдельных ботов запрашивали поиск рейсов и цены на билеты по популярным направлениям, используя как домовые IP-адреса, так и прокси из России, США, Сингапура, Германии и Канады. Интенсивность бот-запросов была достаточно низкой — в пределах 60 в секунду со всего ботнета. Об этом «Известиям» рассказал менеджер продукта Curator.CDN Георгий Тарасов.
«Технической особенностью данной бот-атаки было то, что ее авторы направили трафик не напрямую на основной хост ресурса авиакомпании, а на домен, использующийся для отдачи статического контента — картинок, видео, JS и CSS-файлов. Данный домен обслуживается сетью Curator.CDN, которая кэширует контент и отдает его со своих серверов в большинстве крупных городов России», — сказал он.
Расчет злоумышленников заключался в том, что CDN-узлы находятся в доверенных списках доступа у серверов заказчика и запросы, таким образом перенаправленные через CDN-сеть, будут обработаны без дополнительных проверок на DDoS- или бот-активность.
«Чем более массово онлайн-бизнес использует CDN и одновременно с этим защиту от DDoS и ботов на своих сайтах и мобильных приложениях, тем больше возможностей для применения такой атаки, и тем выше будет ее популярность. Если страницы сайта или API приложения не получается напрямую получить ботом из-за контрмер, то есть мотивация искать и пробовать такие обходные пути. Полагаю, популярность будет расти, но этот вектор не станет самым массовым среди бот-атак», — указал он.
Сайты авиакомпаний и сервисов по продаже билетов атакуют достаточно часто, подтвердил директор по продуктам Servicepipe Михаил Хлебунов. Всплеск был начиная с 2022 года, участники рынка авиаперевозок периодически сталкиваются с сетевыми DDoS-атаками, атаками на уровне приложений, а также с продвинутыми ботами. Для таких игроков доступность сервисов критична, потому чаще всего они хорошо защищены и пользуются услугами не одного сервис-провайдера защиты от DDoS-атак и продвинутых ботов.
«Неудивительно, что при ботовых атаках на игроков отрасли ботоводы используют в том числе не совсем стандартные подходы. Например, когда вредоносная автоматизация мимикрирует не под людей, покупающих авиабилеты, а под запросы CDN-узлов. Что является по сути закономерным развитием атак: чем больше бизнес использует CDN, тем выше вероятность ботовых атак с имитацией запросов CDN-узлов», — подытожил эксперт.
Ранее, 21 февраля, сообщалось, что средняя продолжительность кибератаки на российские компании в 2024 году составила 51 минуту, что на 21% меньше, чем в 2023 году, следует из данных компании «Информзащита». Эксперты связывают эту негативную тенденцию с распространением стилеров, развитием сервисных хакерских платформ и использованием злоумышленниками искусственного интеллекта.
