“Ъ” стали известны подробности масштабной атаки на российские финансовые организации, совершенной в августе. По интенсивности и продолжительности она превысила атаки 2019–2020 годов и затронула деятельность дюжины крупнейших банков. Атака проводилась с использованием «интернета вещей», уровень защиты которого оставляет желать лучшего. Впрочем, банки прошли это испытание без потерь.
Фото: Ирина Бужор, Коммерсантъ / купить фото
В кулуарах Восточного экономического форума зампред правления Сбербанка Станислав Кузнецов сообщил, что на прошлой неделе кредитная организация отразила «самую мощную в мире атаку на финансовый сектор». «Такие атаки были сделаны и на другие финансовые структуры России. Некоторые из них… имели какую-то потерю в своей работоспособности»,— добавил он. По словам господина Кузнецова, атака проведена с территории зарубежных государств, в том числе через несколько тысяч взломанных веб-камер.
Источники “Ъ” уточняют, что пик атаки пришелся на период с 13 по 16 августа, когда ее мощность превышала 50 Гбит/с.
В докладе ФинЦЕРТ Банка России, выпущенном в этом году, отмечалось, что самая мощная атака, выявленная в 2019–2020 годах, велась с интенсивностью 49 Гбит/с, что на 2 Гбит/с выше рекорда 2018 года. По данным ФинЦЕРТ, самые продолжительные атаки в 2019 году длились 11 часов 21 минуту, в 2020 году — 4 часа 18 минут. Таким образом, новая атака может претендовать на звание самой мощной за последние годы.
В Банке России подтвердили факт атаки. «В период с 13 по 16 августа зафиксирована распределенная атака типа DDoS на ряд крупных финансовых организаций. Атака была детектирована ФинЦЕРТ на ранней стадии, проводилась постоянная коммуникация с участниками рынка»,— сообщили в ЦБ. Несколько собеседников “Ъ” уточняют, что запросы шли из США, Латинской Америки и Азии. По данным источников “Ъ”, ей подверглись не менее 12 крупных российских банков, а также процессинговые компании и интернет-провайдеры.
В ЦБ отметили, что ни одна финансовая организация не пострадала, прерывания работы сервисов не было: «Наблюдались единичные замедления. В большинстве финансовых организаций атака была отражена штатными средствами обеспечения информационной безопасности».
Как ранее писал “Ъ”, российские компании в прошлом месяце подвергались DDoS-атакам нового мощного ботнета испанского происхождения (см. “Ъ” от 4 августа).
При этом упоминание веб-камер топ-менеджером Сбербанка было неслучайным. Первая такая атака с использованием ботнета Mirai, взломавшего устройства типа «интернета вещей», в том числе умные веб-камеры, была еще в сентябре 2016 года. Директор технического департамента RTM Group Федор Музалевский отмечает, что сеть камер могла использоваться и для самой атаки. Как поясняет гендиректор SafeTech Денис Калемберг, одной из причин увеличения мощности атак являются темпы разрастания инфраструктуры «интернета вещей». «В сети появляются миллиарды устройств от умных чайников до IP-камер и датчиков движения, которые могут быть без какого-либо труда взломаны и использованы для атак на инфраструктуру организаций или государств»,— говорит эксперт.
По словам одного источника “Ъ”, в первую очередь атака была направлена на серверы 3D-Secure, от нее пострадала часть провайдеров, однако благодаря резервным каналам у банков остановки сервисов не произошло.
По словам директора «Картcтандарт» Майи Глотовой, целью атаки на сервисы 3D-Secure могла быть попытка эксплуатации настроек процессингов банков, в рамках которой при недоступности этого сервиса операция в любом случае одобряется.
Впрочем, по словам Федора Музалевского, мощность атак на отказ в обслуживании выражается в числе запросов в секунду к какому-либо сервису: «Средняя нагрузка, которую мы выдаем при тестировании банков, не превышает 10 тыс. запросов, но и это убивает почти все сервисы средней руки». По его словам, параметр, измеряемый в гигабитах в секунду, говорит только о загрузке каналов, но фактически не влияет на доступность сервисов. По словам совладельца компании RuSIEM Максима Степченкова, 50 Гбит/с — это действительно относительно немного, поэтому банки выдержали поток, однако при серьезном увеличении мощности ситуация может оказаться другой.