Украинские хакеры проводят массовые DDoS-атаки на РФ, используя для этого российские же устройства. В 2025 году до 80% DDoS-трафика, обрушившегося на российские предприятия, было сгенерировано в России. Украинцы арендуют на территории страны серверы и после используют их для атак. Такая схема позволяет хакерам обходить защитные системы российских компаний, которые блокируют иностранный трафик.
Подробности - в материале "Газеты.Ru"."Доля чрезвычайно большая"
Специалисты по информационной безопасности (ИБ) по-разному оценивают масштаб проблемы. Так, например, по данным директора по продуктам компании Servicepipe Михаила Хлебунова, в первой половине 2025 года ~до 80% объема зарегистрированного фирмой DDoS-трафика шло из "российской зоны"~. В 2024 году, по его словам, доля была ниже - "чуть больше 60%".
Руководитель отдела аналитики угроз информационной безопасности группы компаний "Гарда" Алексей Семенычев заявил, что в 2025 году, по их метрикам, доля зарегистрированных DDoS-атак на Россию из России превысила 50%.
В свою очередь ведущий инженер StormWall, одной из крупнейших российских компаний, специализирующихся на отражении DDoS, Артем Артамонов отметил, что за первое полугодие 2025-го, по их данным, около 5,5 млн DDoS-атак было инициировано с российских устройств - это более 33% от всех отраженных атак за период. Если говорить об объеме, то доля российского DDoS-трафика составила около 30%.
"В 2023 году объем трафика с российских IP-адресов составлял 32%. В 2024 году - свыше 50%. Хотя по итогам первого полугодия 2025 года мы можем говорить о снижении доли, она все равно остается чрезвычайно большой", - сказал Артамонов.
Наличие проблемы в разговоре с "Газетой.Ru" подтвердил и топ-менеджер одного из крупнейших российских банков.
"Самый простой механизм защиты от DDoS-атак - это защита по геопризнаку. Когда мы видим, что вредоносный трафик идет из-за рубежа, мы его просто отсекаем, и атака не достигает своей цели. Украинцы очень быстро поняли, что при таких механизмах противодействия их атаки перестали быть эффективными. Поэтому они начали прилагать большие усилия в поисках точек запуска атак с территории России. И сегодня, к сожалению, эффективны именно те атаки, большая часть источников которых находится именно на территории РФ", - объяснил источник "Газеты.Ru".
Стоит отметить, что данные ИБ-компаний отличаются из-за разного числа защищаемых клиентов. Кроме того, сферы бизнеса, к которым относятся клиенты, также различны. Тем не менее, их ответы подтверждают, что тенденция существует и, скорее всего, количество атак даже увеличивается.
Идеальное прикрытие
DDoS-атака - это множество запросов к серверу целевого онлайн-ресурса, которые он не успевает обработать. Для генерации запроса нужно устройство, подключенное к интернету. У каждого такого устройства есть уникальный идентификатор - IP-адрес. Он содержит информацию о стране и ближайшем городе, где находится устройство. Один из главных рубежей в защите российских компаний от DDoS-атак - ~запрет на обработку запросов от иностранных устройств при всплесках входящего трафика~.
Хакеры обходят это ограничение с помощью получения контроля над подключенными к интернету устройствами в России. Для этого украинские и проукраинские хакеры пользуются услугами провайдеров виртуальных серверов: Virtual Private Server (VPS, виртуальный частный сервер) и Virtual Dedicated Server (VDS, виртуальный выделенный сервер).
"Злоумышленники часто используют подставные личные данные или украденные банковские карты для оплаты этих услуг. Некоторые провайдеры слабо проверяют новых клиентов, что и упрощает хакерам запуск атак с их инфраструктуры", - сказал "Газете.Ru" ведущий инженер компании из сферы облачных услуг CorpSoft24 Михаил Сергеев.
Физически VPS и VDS представляют собой серверы на территории России, которые контролируются хостинг-провайдерами. Хостинг-провайдеры сдают их в аренду за ежемесячную плату. Арендатор получает удаленный доступ к серверу с российскими IP-адресами в виде интерфейса, например, Windows. Такой рабочий стол Windows и называется "виртуальной машиной" или "виртуальным сервером".
В случае с VPS, пользователь получает доступ лишь к части мощности сервера, а в случае с VDS - ко всей. При этом, в зависимости от провайдера, один пользователь может арендовать до 100 единиц VPS, каждая из которых будет представлять собой отдельный компьютер. В случае с VDS пользователь сам может разбить мощность сервера на сегменты. Украинские хакеры устанавливают на такие виртуальные машины ПО для проведения DDoS-атак на российские организации и обходят их защиту по геопризнаку.
"Когда мы фиксируем DDoS-атаку с российских IP-адресов, первым делом определяем, какой это VPS/VDS-провайдер. ~В 90% случаев это либо дешевые хостинги со слабой модерацией пользователей, либо взломанные серверы у крупных игроков~", - рассказал Артем Артамонов из StormWall.
Взломы - еще один источник серверов с российскими IP-адресами, которые хакеры используют для DDoS-атак на РФ. VPS/VDS часто используются владельцами различных сайтов, поскольку аренда виртуальной машины зачастую обходится дешевле покупки собственного сервера. При этом, по словам Артамонова, многие сайты управляются ПО с уязвимостями, которые позволяют злоумышленникам захватывать арендованные кем-то VPS/VDS.
"За счет эксплуатации одной и той же уязвимости на разных сайтах, злоумышленники могут одновременно получить доступ к большому количеству серверов VPS/VDS. Как вариант — через известные уязвимости в системах управления сайтами (CMS) вроде Bitrix и WordPress", - пояснил эксперт.
При этом хакерам, которые решили организовать DDoS, далеко не всегда приходится что-то взламывать самостоятельно - в даркнете продаются доступы к уже скомпрометированным VPS/VDS. Более того, есть специальные хакерские хостинг-провайдеры, которые умышленно сдают злоумышленникам сервера в аренду, зная, что они будут использованы для киберпреступлений.
"Я из любой точки мира могу запустить в России сервер, который может использоваться в киберпреступных целях. Я через интернет покупаю сервер, делаю юрлицо по подставным документам, нанимаю человека, который регистрирует сервер и занимается другими формальностями. Все. Железка буквально может стоять у кого-то в гараже, а я в Европе - сдавать ее кому угодно в аренду. Ответственности никакой. Тот, кто работал на меня, работал по доверенности: он не знал, кто я, что я и для чего поднимаю сервер", - рассказал "Газете.Ru" хакер, который раньше сам выступал хостинг-провайдером для киберпреступников.
Приемы против лома
Хотя DDoS-атаки, запущенные из России, отразить действительно сложнее, специалисты по информационной безопасности, да и сами хостинг-провайдеры, сдающие в аренду VPS и VDS, уже выработали методику борьбы с ними. Например, по словам Артема Артамонова из StormWall, при обнаружении DDoS-атаки, источником которой является российский VPS/VDS-провайдер, они сразу связываются с этой компанией, и она блокирует вредоносный трафик.
"Если провайдер - наш клиент, то мы сами блокируем его вредоносный трафик с помощью наших систем фильтрации. Если провайдер сторонний, мы сразу направляем ему уведомление с данными об атаке. Надежные провайдеры молниеносно останавливают виртуальные машины, генерирующие атаку", - сказал он.
При этом, по словам Артамонова, есть и те, кто игнорирует такие уведомления. В таких случаях StormWall вносит атрибуты провайдера в черные списки своих фильтров, после чего весь его трафик автоматически блокируется. Кроме того, информация о таком провайдере передается в Роскомнадзор. В качестве немедленной меры РКН может передать российским операторам связи атрибуты провайдера-нарушителя для его полной блокировки посредством технических средств противодействия угрозам (ТСПУ).
"Проблема в том, что большинство DDoS-атак идут с сомнительных хостингов, которые могут быть зарегистрированы незаконными способами и принимают оплату биткоинами", - добавил Артамонов.
Некоторые хостинг-провайдеры также обладают инструментами для самостоятельного выявления и блокировки злоумышленников, которые используют их VPS/VDS для DDoS-атак. Не все, потому что подобные системы зачастую стоят дорого и не приносят прибыли бизнесу.
"Провайдеры могут отслеживать аномальные шаблоны трафика, нетипичную нагрузку, использование нестандартных портов, массовые исходящие соединения или попытки сканирования. Однако для этого нужны ресурсы, автоматизированные средства мониторинга и ИБ-экспертиза. Не все провайдеры готовы инвестировать в такие меры", - сказал "Газете.Ru" проджект-менеджер компании MD Audit (входит в группу компаний Softline) Кирилл Лёвкин.
В свою очередь Михаил Сергеев из CorpSoft24 добавил, что атаки с VPS/VDS часто маскируются под легитимную активность. Поэтому даже со средствами мониторинга хостинг-провайдеры часто принимают меры только после жалоб со стороны атакованных организаций.
"Мы неоднократно выносили эту проблему на обсуждение с правоохранительными органами Это важная зона роста, которую мы еще не полностью освоили в стране", - заявил "Газете.Ru" топ-менеджер одного из крупнейших российских банков.
"Газета.Ru" направила запрос в Роскомнадзор.
Свежие комментарии