новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

[текст/редактор лу донг из observer network/чжан гуанкай]

«в последние годы это было крайне редко: количество команд атаки за ночь возросло более чем в 20 000 раз». «восемь серверов, выдающих команды атаки, находятся в соединенных штатах, три — в великобритании, а остальные распределены по многим странам». мир». «китай выпустил игру «кто-нибудь так недоволен игрой, которая достигла вершины мира»…

недавно запуск первой отечественной игры ааа-класса «black myth: wukong» привлек внимание всего мира: наибольшее количество одновременных онлайн-пользователей на всей платформе достигло 3 миллионов. однако вечером 24 августа платформа steam подверглась масштабной сетевой ddos-атаке и внезапно рухнула. игроки из многих стран мира сообщили, что не могут войти в игру, а также получить доступ к онлайн-номеру в режиме реального времени. количество «черного мифа: вуконг» упало до менее одного миллиона.

для игры, если она будет продолжать подвергаться атакам со стороны сети в течение одного дня, 80% количества игроков будет потеряно. это явно фатально для игры. по данным, опубликованным лабораторией qi’anxin xlab, эту атаку запустили около 60 мастеров ботнетов, а количество инструкций по атаке за ночь увеличилось более чем в 20 000 раз. помимо собственных серверов steam, в качестве целей атаки также были указаны серверы steam отечественных агентов perfect world. всего было атаковано 107 ip-адресов серверов steam в 13 странах и регионах.

кто стоит за этой кибератакой, какова ее цель и как ее предотвратить? некоторые эксперты отрасли кибербезопасности рассказывают нам подробности.

«эта атака, очевидно, была очень целенаправленной. всего было совершено 4 атаки до и после. одна атака была совершена в полдень в субботу (24 августа), атака была с 6 до 11 часов вечера, и он начался снова в воскресенье утром. на этот раз это произошло ночью в северной америке, а в четвертый раз это произошло в 4 часа утра 26 августа, то есть ночью в европе. злоумышленник, похоже, намеренно решил запустить ракету. атаковать в часы пик онлайн-игр на геймеров в различных часовых поясах, чтобы добиться максимального ущерба», — рассказал observer.com эксперт по безопасности qi’anxin xlab.

картинки из игры «чёрный миф: вуконг»

судя по времени атаки, географическому распределению и стратегии одновременного нападения на отечественные и зарубежные серверы steam, цель злоумышленника, очевидно, состоит в том, чтобы нарушить нормальную работу платформы steam во всем мире, одновременно сосредоточив внимание на китайском рынке. эта организованная атака отражает стратегическое планирование злоумышленника и четкое нацеливание на цель.

«в целом этот инцидент имеет очевидную политическую, идеологическую и геополитическую подоплеку и может быть вызван одним или несколькими субъектами. по указанным выше причинам используются или временно арендуются крупномасштабные ботнеты. ddos-атаки мешают эксплуатации игр», — рассказал observer.com ли босонг, соучредитель и заместитель директора технического комитета antiy technology group.

в этой сетевой атаке часто появлялись такие профессиональные термины, как ботнет и ddos-атака. что они означают?

полное название ddos-атаки — распределенная атака типа «отказ в обслуживании», которая является распространенным средством сетевых атак. проще говоря, злоумышленники контролируют большое количество компьютеров (в отрасли их называют «ботами») с помощью уязвимостей программного обеспечения или системы и устанавливают вредоносное по. затем они контролируются с помощью инструкций по отправке большого количества нежелательных запросов на целевой сервер, заполняя ресурсы сервера или пропускной способности и делая другую сторону неспособной предоставлять услуги.

«большинство ddos-атак инициируются крупномасштабными узлами ботнетов, а ботнеты формируются в результате долгосрочных автоматических вторжений и распространения. в мире существует множество больших и малых систем ботнетов, контролируемых различными черными организациями. существуют сотни узлов, начиная от от сотен тысяч до миллионов узлов. эти ботнеты превратились в инфраструктуру для атак, которую могут арендовать злоумышленники», — сказал ли байсун.

примерная схема ботнета

согласно отчету qi'anxin, в этой атаке на платформу steam участвовало несколько ботнетов. главной силой среди них является самопровозглашенный ботнет aisuru, который утверждает в своем телеграмм-канале, что имеет более 30 000 бот-узлов и потенциал атаки около. 1,3-2т.

существует несколько распространенных целей ddos-атак. первый заключается в том, чтобы парализовать целевой сервер и нанести определенные экономические потери атакуемой цели; второй заключается в том, чтобы создать хаос и помешать нормальной работе игровых игроков или предприятий, а третий заключается в том, что он может быть использован конкурентами; использоваться для прикрытия более продвинутых атак; в-четвертых, оно может использоваться для выражения политических мотивов или протестов.

«в ходе этой атаки было обнаружено в общей сложности 280 000 инструкций по атаке, направленных на платформу steam», — сказал цяньсинь. до выпуска «черного мифа: вуконг» мы ни разу не обнаружили, чтобы сервер perfect world steam подвергался ddos-атаке, и атака длилась несколько часов. в периоды пикового онлайна атаки на игроков в различных регионах были крайне редки».

«в пиковый период нахождения геймеров онлайн платформа steam подверглась столь масштабной ddos-атаке. трудно не подумать, что эта атака была направлена ​​не против отечественного игрового шедевра 3а «black myth: wukong». наша команда обнаружила это. в крупномасштабном ботнете «сфере слежения уделяется внимание уже более 10 лет, но организация и интенсивность этой атаки до сих пор нас удивляют. китай выпустил игру, которая достигла вершины мира. неужели кто-то настолько недоволен — спросил эксперт по безопасности observer. чжэван сказал прямо.

поскольку это была злонамеренная атака, можно ли найти настоящего виновника? на данный момент это довольно сложно. с точки зрения процесса ddos-атаки фактический злоумышленник или оператор ботнета управляет основным терминалом управления, чтобы выдать инструкции по атаке контролируемому терминалу (бройлеру), а затем контролируемый терминал выполняет атаку. однако существующие технические средства охранного предприятия позволяют лишь определить местонахождение главного сервера управления и не могут выявить настоящего виновника.

тенденции атак на платформу steam в прошлом году

«в сша имеется 8 основных серверов управления, 3 — в великобритании, а остальные распределены в южной корее, россии, сингапуре, японии, индонезии, нидерландах, швейцарии и других местах по всему миру с несколькими ip-адресами. но даже если вы увидите, что серверы не имеют значения, в какой это стране, потому что китайцы также могут разместить сервер в сша, и за ним сложно обнаружить злоумышленника», — сказал вышеупомянутый эксперт по безопасности.

ли байсонг также считает, что операции ботнетов имеют разные методы контроля: некоторые используют многоуровневые методы централизованного контроля, а некоторые используют методы управления p2p. очень сложно точно определить местонахождение виновников атак, стоящих за ними.

«при крупномасштабных ddos-атаках физическое местонахождение зафрахтованной машины (главного управляющего сервера) не имеет большого значения. более того, оператор ботнета и реальный злоумышленник, скорее всего, не одно и то же лицо. обе стороны могут быть связаны через сеть и использовать виртуальную валюту. для расчетов друг другу неизвестно, кто есть кто, а стоимость аренды относительно невелика. кроме того, захват, блокировка, обработка, статистика и т. д. атак в основном зависят от операций безопасности steam. , и другим третьим лицам сложно получить эффективные данные», — сказал он.

однако ли байсонг также добавил, что охранные компании и команды по-прежнему могут искать следы и признаки атак в системах ботнетов, которые отслеживаются и которым уделяется внимание, в том числе в отделениях экстренной помощи, которые могут атаковать некоторые контролируемые хосты-зомби, распределенные внутри страны, для проведения атак. совместный анализ.

трудно выяснить, кто стоит за этим, есть ли у игровых платформ или компаний способ защититься от ddos-атак?

вышеупомянутые эксперты по безопасности из цяньсиня, при возникновении сетевой атаки, аномальный трафик должен быть своевременно очищен; в-третьих, необходимо развернуть сеть распространения контента (cnd), которая может в определенной степени противостоять ddos-атакам; в то же время он также может сотрудничать с операторами для управления трафиком на уровне сети. фильтровать или ограничивать его для своевременного удаления вредоносного трафика.

что интригует, так это то, что об этой крупномасштабной кибератаке, направленной на «черный миф: укун», зарубежные сми редко сообщали. по мнению ли байсуна, внимание предприятий и организаций индустрии безопасности стало в значительной степени ориентированным на лагеря, и западные охранные компании не будут обращать внимание на этот инцидент и анализировать его.

на самом деле, ddos-атаки чрезвычайно распространены в игровой индустрии. данные, опубликованные компанией сетевой безопасности gcore, показывают, что в первой половине 2024 года количество ddos-атак в мире значительно возросло: их число достигло 445 000, что означает рост на 46% в годовом исчислении и на 34% в месячном исчислении. индустрия игр и азартных игр по-прежнему больше всего страдает от атак: на их долю пришлось 49% от общего числа инцидентов в первой половине года, а высокий риск и конкурентный характер онлайн-игр делают их особенно уязвимыми для таких нарушений.