Атаки меняют угол
DDoS-нападения на банки продолжаются
По оценкам Orange Business Services, через которую идет значительная часть трафика крупных банков по картам, в октябре DDoS-атаки на российские финансовые организации не прекратились. Интенсивность их снизилась, но остается выше уровня первого полугодия. Более того, в октябре, как утверждают эксперты, появились новые типы DDoS-атак, которые не наблюдались в августе и сентябре.
Фото: Евгений Павленко, Коммерсантъ
Как рассказали “Ъ” в Orange Business Services, в октябре DDoS-атаки на российские финансовые организации ослабли, но не прекратились. «Интенсивность давления снизилась — начиная с 23 сентября мы зафиксировали около 70 атак на финансовые организации, при этом надо отметить, что их частота все равно гораздо выше, чем в месяцы до 9 августа, когда мы детектировали начало волны DDoS-атак. В среднем этот показатель за последний месяц в четыре раза выше, чем до 9 августа»,— сообщили в компании.
Там отметили, что фиксируют регулярные атаки мощностью от 14 до 20 Гбит/с и не ожидают, что они прекратятся.
В начале сентября зампред правления Сбербанка Станислав Кузнецов сообщил, что в последнюю неделю августа кредитная организация отразила «самую мощную в мире атаку на финансовый сектор» (см. “Ъ” от 3 сентября). Тогда эксперты оценили ее мощность в 50 Гбит/с и отметили, что это на 2 Гбит/с превышает рекорд, выявленный ФинЦЕРТом в 2019–2020 годах. После выхода этой новости атака повторилась и оказалась более масштабной — в результате на несколько часов у ряда крупных банков возникли проблемы с проведением платежей и обслуживанием карт (см. “Ъ” от 4 сентября). По количеству зафиксированных атак этот август сравним со всем прошлым годом, оценивают в компании.
Несмотря на снижение числа атак и их интенсивности, появились новые векторы для перегрузки каналов связи финансовых организаций, отмечают в Orange Business Services.
«В октябре злоумышленники стали использовать атаки типа NTP Amplification, STUN Amplification и WS Discovery-Amplification. Последние две атаки являются достаточно редкими, и судя по тому, что они применялись против одних и тех же организаций, что и ранее зафиксированные нами "экзотические" векторы, по крайней мере часть наблюдаемых атак совершается все теми же злоумышленниками, что и ранее»,— сообщил “Ъ” директор центра по кибербезопасности Orange Business Services в России и СНГ Юрий Бармотин.
По словам директора технического департамента RTM Group Федора Музалевского, эти векторы стали распространенными в последнее время. «При атаке с NTP Amplification потенциальный злоумышленник может использовать сеть "ботнет" (компьютерную сеть, состоящую из компьютеров с зараженным ПО), которая будет отправлять множество запросов на NTP-сервер, тем самым перегружая его, вызывая отказ в обслуживании. Эта атака представляет опасность вообще для всех устройств, подключенных к сети»,— поясняет он.
Как пояснил инженер компании RuSIEM Александр Герман, злоумышленники адаптируют тактики и техники проведения атак к усложняющемуся «ландшафту защиты».
«По мере того как информационная безопасность делает "работу над ошибками" и вырабатывает средства и способы защиты от последних известных актуальных угроз, эффективность атак снижается и злоумышленники разрабатывают новые способы обхода этой защиты»,— говорит он.
Руководитель отдела аналитики Positive Technologies Евгений Гнедин отмечает, что классический мотив DDoS-атак — недобросовестная конкурентная борьба. «Но бывают и другие, например, такие атаки используются и с целью демонстрации силы злоумышленника или даже для вымогательства выкупа за остановку атаки»,— поясняет он.
По мнению ряда экспертов, тот факт, что волна DDoS-атак длится уже почти три месяца и наиболее мощные атаки были направлены на крупнейшие российские банки, может говорить о том, что они маскировали другие атаки. «Под прикрытием DDoS-атак в корпоративные сети могли попытаться внедрить вирус, способный передать злоумышленникам клиентскую базу или управление какими-либо внутренними системами банка»,— пояснил собеседник “Ъ”. Но удалась ли эта скрытая атака, по его словам, можно будет узнать только после того, как эта гипотетическая закладка сработает.