К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Банки вызвали на ковер: почему DDoS-атаки на финсектор в июне оказались эффективными

Фото Getty Images
Фото Getty Images
С начала года хактивисты при DDoS-атаках на финансовую отрасль используют тактику ковровых бомбардировок. В июне, как утверждают специалисты в области информбезопасности (ИБ), в результате таких атак «легли» сервисы нескольких крупнейших игроков рынка. О том, что представляют собой «ковровые атаки», в чем сложность их выявления и почему они опасны именно для гигантов финансового сектора, в колонке для Forbes рассказал заместитель генерального директора компании Servicepipe Даниил Щербаков

В конце июня банковское сообщество и ИБ-специалисты активно обсуждали обрушившиеся на финансовый сектор мощные ковровые DDoS-атаки, организованные политически мотивированными хакерами (так, массовой кибератаке подверглись ресурсы Мосбиржи, Газпромбанка, Альфа-банка, ВТБ и оператора российской платежной системы «Мир» (Национальной системы платежных карт). Многих интересовал вопрос — как могло случиться, что крупнейшие игроки отрасли, этакие слоны финансового рынка, «легли» под атакой. Причем не на несколько минут — деградация или недоступность сервисов наблюдалась часами. Казалось бы, эти гиганты имеют огромные бюджеты на ИБ, с кибератаками сталкиваются постоянно и потому именно они должны быть максимально защищены от подобных угроз.

Дело в том, что хактивисты использовали тактику «ковровых атак». А при таких атаках как раз куда проще завалить «слона» финансового рынка, чем «мышку» в виде небольшого ломбарда или коллекторского агентства. Кроме того, и детектирование этих нападений, и защита существенно отличаются от привычных DDoS-атак. И если компания ранее не сталкивалась с подобными атаками, то шанс не замечать «ковровую бомбардировку» вплоть до наступления деградации и недоступности сервисов велик.

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Итак, что же такое «ковровая атака»? Сам термин военный и означает непрерывное интенсивное бомбометание по значительным площадям. Помните, что случилось с Дрезденом во время второй мировой? Вот это оно. В случае ковровых DDoS-атак тот же принцип — вредоносный трафик направляется по всем IP-адресам атакуемой организации, сплошным «ковром». При этом мощность атаки, приходящаяся на один IP-адрес, может быть очень невысокой.

 

Приведу пример. Представим себе классическую DDoS-атаку на кредитную организацию условной мощностью 1 Гбит в секунду, когда весь вредоносный трафик направлен на конкретный ресурс/IP-адрес или группу IP-адресов банка. Если атакуемый канал меньшей емкости и не имеет защиты от DDoS-атак, от такой атаки он непременно «ляжет». Но если защищен, детектировать такую атаку достаточно легко — прилет на один адрес 1 Гбит/с «лишнего» трафика сложно не заметить. А когда легко выявить — легко защитить. Например, перенаправляя «паразитный» трафик по несуществующему маршруту (используя механизм blackhole).

При ковровой атаке на один IP-адрес кредитной организации может приходиться всего 1 Мбит/с вредоносного трафика. Это очень сложно детектировать, потому что такое повышение, если смотреть нагрузку на один IP-адрес, будет выглядеть как привычная фоновая нелегитимная активность. В интернете не бывает такого, чтобы мусорного трафика не было совсем — сервисы компаний сканируются, работают парсеры, «прилетают» пакеты, не связанные с конкретной компанией. Это нормальная история, так и должно быть, немного мусорного трафика — это просто погрешность. Если специально не детектировать ковровые атаки, анализируя каждый канал в отдельности, то этот 1 Мбит/с легко не заметить. А теперь давайте умножим этот 1 Мбит/с на тысячу IP-адресов, на десятки тысяч… Получается мощная атака, с которой к тому же сложнее бороться — если перенаправить весь вредоносный трафик по несуществующему маршруту, то это приведет к недоступности всех сервисов. То есть именно к тому, чего добиваются злоумышленники.

 

Чтобы положить банк, злоумышленникам не обязательно атаковать его напрямую. Вариант ковровой атаки на финансовые организации — атака через сервис-провайдеров: интернет- или облачных провайдеров, защитников от DDoS-атак и т. д. Например, если интернет-провайдер доставляет трафик по каналу, на котором есть защита от DDoS-атак, то весь трафик будет обрабатываться различными сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и каждое из этих устройств имеет определенный ресурс по мощности. И цель атаки при атаке на сервис-провайдера — добиться, чтобы мощности устройств не хватило, и «железо» «легло». В итоге недоступность сервисов будет не только у конечной цели атаки (например, банка), но и, скорее всего, у других клиентов того же сервис-провайдера. Например, по этому принципу недавно были атакованы компании, работающие в Крыму: интересовали конкретные цели, но, зайдя через интернет-провайдеров, «положили» всех их клиентов. Кстати, при планировании атак через сервис-провайдеров злоумышленники нередко сразу указывают, кто является конечной целью.

В СМИ я видел упоминания о том, что ковровые атаки на финансовый сектор — это прямо новость, некоторые представители финансовой отрасли говорили о том же. Не соглашусь. Мы сталкивались с такими атаками на российские компании еще в 2020 году. И организованы они были вовсе не политически мотивированными хакерами, а вполне себе коммерческими, работающими за деньги. Так что тактика атак не нова. Что же касается атак хактивистов, то организованные ими «ковровые атаки» в отношении кредитных организаций мы видим тоже не впервые — мы их фиксировали еще в январе 2024 года. И есть все основания полагать, что ковровые атаки на финансовый сектор продолжатся. Злоумышленники уже делом доказали, что способны направлять мусорный трафик на тысячи IP-адресов одновременно, грамотно дирижируя ботнетом. И потому совет участникам финансового рынка лишь один — защищаться. Мы запомнили имена тех, кто «лег» под атакой. И никогда не узнаем о тех банках, кто благодаря грамотно выстроенной защите ковровые атаки даже не заметил.

Мнение редакции может не совпадать с точкой зрения автора 

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+