«Коммерсантъ» узнал подробности крупнейшей DDoS-атаки на российские банки
Масштабная DDoS-атака на российские финансовые организации, совершенная в августе, затронула деятельность не менее двенадцати крупнейших банков. По интенсивности и продолжительности она превысила атаки 2019–2020 годов и проводилась с использованием «интернета вещей»
Крупнейшие российские банки в середине августа пережили самую мощную за последние несколько лет DDoS-атаку. Она затронула деятельность более десятка банков и велась с помощью «интернета вещей», выяснил «Коммерсантъ».
Заместитель председателя правления Сбербанка Станислав Кузнецов в кулуарах Восточного экономического форума во Владивостоке сообщил, что неделей ранее кредитная организация отразила «самую мощную в мире атаку на финансовый сектор». «Такие атаки были сделаны и на другие финансовые структуры России. Некоторые из них <...> имели какую-то потерю в своей работоспособности», — добавил он. По словам Кузнецова, атака проведена с территории зарубежных государств, в том числе через несколько тысяч взломанных веб-камер.
По данным источников газеты, пик атаки пришелся на период с 13 по 16 августа — тогда ее мощность превышала 50 Гбит/с. Из доклада ФинЦЕРТ Банка России, выпущенном в 2021 году, следует, что самая мощная атака, выявленная в 2019–2020 годах, велась с интенсивностью 49 Гбит/с — это на 2 Гбит/с выше рекорда 2018 года. По данным ФинЦЕРТ, самые продолжительные атаки в 2019 году длились 11 часов 21 минуту, в 2020 году — 4 часа 18 минут. Таким образом, новая атака может претендовать на звание самой мощной за последние годы, пишет «Коммерсантъ».
В Центробанке подтвердили факт атаки. «В период с 13 по 16 августа зафиксирована распределенная атака типа DDoS на ряд крупных финансовых организаций. Атака была детектирована ФинЦЕРТ на ранней стадии, проводилась постоянная коммуникация с участниками рынка», — сообщили в ЦБ. По данным источников «Коммерсанта», ей подверглись не менее двенадцати крупных российских банков, а также процессинговые компании и интернет-провайдеры. Несколько собеседников газеты уточнили, что запросы шли из США, Латинской Америки и Азии.
В ЦБ отметили, что ни одна финансовая организация не пострадала, прерывания работы сервисов не было. «Наблюдались единичные замедления. В большинстве финансовых организаций атака была отражена штатными средствами обеспечения информационной безопасности», — сказали в Центробанке.
При этом упоминание веб-камер топ-менеджером Сбербанка было неслучайным, отмечает газета. Первая такая атака с использованием ботнета Mirai, взломавшего устройства типа «интернета вещей», в том числе умные веб-камеры, была произведена еще в сентябре 2016 года. Директор технического департамента RTM Group Федор Музалевский отмечает, что сеть камер могла использоваться и для самой атаки.
Как объяснил гендиректор SafeTech Денис Калемберг, одной из причин увеличения мощности атак являются как раз темпы разрастания инфраструктуры «интернета вещей». «В сети появляются миллиарды устройств от умных чайников до IP-камер и датчиков движения, которые могут быть без какого-либо труда взломаны и использованы для атак на инфраструктуру организаций или государств», — отметил эксперт.
По словам одного из собеседников газеты, в первую очередь атака была направлена на серверы 3D-Secure. От атаки, по его оценке, пострадала часть провайдеров, однако благодаря резервным каналам у банков остановки сервисов не произошло. Директор «Картcтандарт» Майя Глотова предположила, что целью атаки на сервисы 3D-Secure могла быть попытка эксплуатации настроек процессингов банков. В ее ходе при недоступности сервиса 3D-Secure операция в любом случае одобряется, объяснила Глотова.
По словам Музалевского из RTM Group, мощность атак на отказ в обслуживании выражается в числе запросов в секунду к какому-либо сервису. «Средняя нагрузка, которую мы выдаем при тестировании банков, не превышает 10 000 запросов, но и это убивает почти все сервисы средней руки», — пояснил он. Параметр, измеряемый в гигабитах в секунду, говорит только о загрузке каналов, но фактически не влияет на доступность сервисов, отметил Музалевский.
По оценке совладельца компании RuSIEM Максима Степченкова, 50 Гбит/с — это действительно относительно немного, поэтому банки выдержали поток, однако при серьезном увеличении мощности ситуация может оказаться другой.