За последний месяц выявлено более 150 атак на российские финансовые организации, мощность которых втрое превысила рекорд прошлого года, свидетельствуют данные Orange Business Services. При этом мошенники перешли от адресных атак на отдельные организации к массовым нападениям. Кроме самих банков, злоумышленники стали активно пытаться взламывать их поставщиков и участников экосистем, которые, как правило, хуже защищены.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Фото: Игорь Иванко, Коммерсантъ / купить фото
Orange Business Services, поставляющая цифровые сервисы для многих финансовых организаций, провела исследование и установила, что за месяц, с 9 августа по 9 сентября 2021 года, на них зафиксировано более 150 атак. «При этом их интенсивность постоянно нарастает»,— говорится в сообщении компании. В докладе ФинЦЕРТа по итогам 2020 года отмечалось, что самая мощная атака в 2019–2020 годах велась с интенсивностью 49 Гбит/с (на 2 Гбит/с выше рекорда 2018 года) (см. “Ъ” от 3 сентября). Уже в августе 2021 года, как сообщает Orange Business Services, она отбивала запросы мощностью 100 Гбит/с, а 6 сентября уровень превысил 150 Гбит/с.
«Преступники пытаются постоянно увеличивать мощность атак в надежде, что телеком-провайдеры не смогут провести очистку трафика в столь больших объемах»,— утверждают в компании.
В своем исследовании Orange Business Services обращает внимание, что увеличивается и площадь атакуемого адресного пространства. Если в августе фиксировались в основном адресные запросы на конкретные IP-адреса финансовых организаций, то с сентября проводятся атаки, затрагивающие 256 и более адресов за раз. Преступники постоянно меняют или комбинируют типы атак для увеличения сложности их отражения.
Компания неоднократно наблюдала сразу несколько типов атак, одновременно совершаемых на финансовые организации. Например, атака с целью переполнения магистрального канала связи шла параллельно запросам в зашифрованном трафике на сервис платежей. «По тому, как настойчиво и изобретательно действуют киберпреступники, можно говорить, что мы имеем дело со сложной спланированной акцией, направленной на дестабилизацию как минимум российского финансового рынка»,— считает операционный директор Orange Business Services в России и СНГ Ольга Баранова.
Эльвира Набиуллина, глава Банка России, 23 июля
Мы действуем в интересах того, чтобы банковская система была устойчивой и риски в ней не повышались в зависимости от того, развивают или не развивают банки экосистему
В июле Банк России сообщал о рисках «заражения» финансовых учреждений через участников их экосистем. Как отмечают в Orange Business Services, на конференции Cyber Polygon 2021, прошедшей в июле, эксперты в области информационной безопасности Тереза Уолш и Троелс Оертинг говорили, что вектор смещается в направлении сторонних поставщиков организаций, через которые совершается до 40% атак. По словам главы исследовательской группы отдела аналитики Positive Technologies Екатерины Килюшевой, число атак, при которых преступники пытаются проникнуть в сеть целевой компании через взлом поставщиков услуг, действительно растет, и это общемировая тенденция: «Финансовые организации, особенно крупные, обладают высоким уровнем защищенности от внешних нарушителей по сравнению с компаниями из других отраслей».
По мнению управляющего RTM Group Евгения Царева, смещение вектора атак сместился с самих банков на контрагентов и дочерние структуры логично. «Такой подход в разы повышает вероятность успеха,— говорит он.— Злоумышленники максимально заинтересованы в том, чтобы снизить стоимость атаки и повысить вероятность успеха, и идут туда, где проще и удобнее». Применительно к банку, по словам Евгения Царева, можно атаковать одного из клиентов, получить доступ к системе ДБО и направить зараженные файлы в банк или атаковать дочернюю структуру и также развить атаку уже на банк. Можно направить фишинговую рассылку с зараженными файлами на филиальную сеть, а затем через информационную систему одного из отделений проникнуть в основную базу данных банка.
Технический директор компании RuSIEM Антон Фишман обращает внимание, что у перечисленных DDoS-атак может быть несколько целей.
«Самое простое — это нарушение доступности услуг / сервисов и, как следствие, технологические и репутационные потери для финансовой организации. Достигать это можно как атакуя сами банковские системы, так и занимая полосу пропускания канала связи, который использует банк»,— говорит он. Другой целью, по его словам, является сокрытие следов других атак, происходящих параллельно: «Нашли какую-то уязвимость и если ее будут использовать напрямую, то служба мониторинга безопасности либо системы защиты сразу заметят, что происходит атака, и смогут заблокировать, а вот если в это время будет происходить DDoS, реальную атаку могут пропустить».