Крупнейшая российская авиакомпания ？Аэрофлот？ 28 сентября подверглась мощной DDoS-атаке, которая была направлена на систему бронирования авиабилетов Leonardo (？Леонардо？, разработка компании ？Сирена-Трэвэл？ совместно с ？Ростехом？). Из-за этого сайт авиакомпании не открывается для пользователей. Из-за сбоя были задержаны более 16 рейсов в московском аэропорту ？Шереметьево？.

       DDoS-атаки начались утром 28 сентября. Ближе к вечеру атаки на ？Леонардо？ возобновились, сообщил ？Ведомостям？ представитель ？Ростеха？. Они идут с территории нескольких стран, включая Украину, уточнил он.

       Авиакомпании сообщили о сбое в системе бронирования С затруднениями регистрации пассажиров столкнулись ？Аэрофлот？, ？Россия？ и ？Победа？

       ？На данный момент наблюдаются небольшие сбои. Цель злоумышленников, атакующих "Леонардо", заключается в остановках авиаперевозок в России？, – отметил вечером 28 сентября представитель госкорпорации. Для отражения атак на инфраструктуру системы бронирования авиабилетов задействована собственная команда информационной безопасности, а также привлечены две дополнительные распределенные команды, добавил он.

       При входе на сайт со стационарного компьютера пользователь получал уведомления о том, ？доступ к сайту временно ограничен владельцем веб-ресурса？. При этом мобильная версия сайта и приложение ？Аэрофлота？ доступны. Сайты дочерних авиакомпаний ？Аэрофлота？ ？Россия？ и ？Победа？ также работали в штатном режиме.

       С утра ？Аэрофлот？, ？Россия？ и ？Победа？ сообщали о сбоях в работе системы бронирования авиабилетов. В результате авиакомпании столкнулись с проблемами при регистрации пассажиров. Позже авиакомпании сообщали о восстановлении работы всех сервисов.

       В ？России？ отмечали, что из-за сбоя из ？Шереметьево？ задерживался вылет рейсов в Калининград, Пермь, Мурманск, Ульяновск, Санкт-Петербург и в Сочи. Помимо этого также задерживался вылет рейсов из Сочи в ？Шереметьево？ и Стамбул, а также из Калининграда, Екатеринбурга, Мурманска, Уфы, Хибин в Санкт-Петербург. Согласно информации на онлайн-табло аэропорта ？Шереметьево？, на вылет были задержаны не менее 16 рейсов авиакомпаний ？Победа？ и ？Аэрофлот？, в том числе в Сочи, Даламан, Анталью, Астану и др.

       DDoS-атаки все чаще происходят с российских IP-адресов Злоумышленники используют их для обхода блокировок зарубежного трафика

       ？Ведомости？ направили запросы в ？Аэрофлот？, UTair, ？Уральские авиалинии？ (все три авиакомпании пользуются системой Leonardo), S7 (пользуются российской системой Online Reservation System – ORS), аэропорты ？Шереметьево？, ？Домодедово？, а также в крупные аэропортовые холдинги.

       Представитель московского аэропорта ？Внуково？ заявил, что все затруднения в функционировании сервисов были устранены, а аэропорт работает в штатном режиме.

       Это действительно могла быть DDoS-атака на систему Leonardo, предполагает директор департамента транспорта и логистики компании ？Рексофт？ Александр Семенов. В этом случае из-за нее системы регистрации во всех аэропортах не могли бы оформлять пассажиров, поскольку не получали информации о билетах из Leonardo, отмечает он. Вероятность того, что недоступность системы бронирования была связана именно с DDoS-атакой, исключать нельзя, согласен менеджер по продукту Kaspersky DDoS protection Александр Гутников. Это была таргетированная атака скорее среднего масштаба, оценивает коммерческий директор ？Кода Безопасности？ Федор Дбар.

       Модель DDoS-атаки предполагает наличие командного центра и зараженных ботов (обычных компьютеров), объясняет замдиректора Центра компетенций НТИ ？Технологии доверенного взаимодействия？ на базе ТУСУР Руслан Пермяков. Длиться подобные атаки могут значительное время – до нескольких суток, говорит директор регионального инжинирингового центра SafeNet ？Национальной технологической инициативы？ (НТИ) Денис Кувиков. Задача злоумышленников заключается в ？перегрузке？ системы большим количеством запросов чтобы сделать ее недоступной для взаимодействия с другими системами, говорит Семенов.

       В зависимости от уровня атаки она может повлечь за собой отказ работы сервиса или серверного оборудования, кроме этого, DDoS может привести к получению данных, хранимых на сервере, предупреждает эксперт инжинирингового центра SafeNet НТИ Игорь Бедеров. Один из наиболее опасных сценариев – это тот, при котором злоумышленнику удается добраться до данных системы, зашифровать их или похитить, отмечает директор направления систем резервного копирования компании ？Киберпротекта？ Сергей Лебедев.

       Злоумышленники, проводя DDoS-атаку, могут целиться в блокировку сервиса или пытаться скрыть следы атак другого типа, например, кражи данных, захвата управления систем и т. п., добавляет руководитель направления экспертизы и аналитики компании ？Гарда Технологии？ (входит в ГК ？Гарда？) Алексей Семенычев. При комбинированных целевых атаках DDoS используется в качестве отвлекающего маневра, чтобы перетянуть на себя внимание и ресурсы специалистов информационной безопасности, продолжает Гутников. По его словам, злоумышленники могут попытаться, например, проникнуть в инфраструктуру организации, украсть данные или провести deface сайта (взлом сайта и публикация на нем сообщения злоумышленников).

       За DDoS-атакой на РЖД стоят проукраинские злоумышленники Нападение случилось после возникновения автомобильных пробок на Крымском мосту

       Официальной информации о странах - источниках трафика пока нет, но, судя по емкости атаки, это одна из европейских группировок, обращает внимание Пермяков. В то же время раньше источники атак были по большей части зарубежные, поэтому бороться с DDoS-атаками помогала блокировка иностранных IP-адресов, напомнил менеджер продукта Qrator Labs Георгий Тарасов. Но сейчас паттерны трафика поменялись: атакующие осознали, что во многих случаях компании для защиты от атак применяют метод блокировки зарубежного трафика (по GeoIP), и научились с успехом обходить эту меру. Существенная доля трафика атак теперь генерируется внутри российских сетей и блокировки пакетов из-за рубежа совершенно перестали быть результативными, говорит Тарасов.

       Успешность атаки на сервисы Leonardo свидетельствует о том, что их система защиты от DDoS-атак не всегда справляется с современными вызовами безопасности и требует обновления для того, чтобы оперативно реагировать на появление новых типов атак, обращает внимание Тарасов. Учитывая, что жалобы исходили от довольно крупных авиакомпаний, таких как ？Аэрофлот？, ？Победа？ и ？Россия？, следует признать, что архитектура системы и применяемые инструменты защиты от DDoS оказались недостаточно надежными и должны быть пересмотрены, согласен Семенычев.

       Так как DDoS-атака предполагает исчерпание общественно доступного ресурса (ширины канала, памяти сервера, свободных подключений), то факт атаки не говорит о слабой защите, возражает Пермяков. При достаточном ресурсе можно удачно атаковать практически любую систему, а о надежности защиты может говорить время восстановления системы, а также скорость развертывания систем очистки трафика, указывает он.

       На 100% никто не застрахован, вероятность достижения злоумышленником цели всегда существует, даже в самых защищенных компаниях, подтверждает Лебедев. При грамотной организации системы резервного копирования компания может в короткое время вернуться к привычной работе, ？откатив？ состояние системы до той точки, когда все работало штатно, говорит он.

       Чтобы всерьез обезопасить себя от DDoS-атак, необходимо оборудование, алгоритмы и инфраструктура для их быстрого обнаружения, запас канальной емкости и серверных мощностей для фильтрации паразитного трафика, рекомендует Тарасов. Кроме того, чтобы не стать жертвой современных злоумышленников, не следует пользоваться устаревшими методами блокировки нелегитимного трафика, такими как GeoIP, заключил он.