Банки вызвали на ковер: почему DDoS-атаки на финсектор в июне оказались эффективными

В конце июня банковское сообщество и ИБ-специалисты активно обсуждали обрушившиеся на финансовый сектор мощные ковровые DDoS-атаки, организованные политически мотивированными хакерами (так, массовой кибератаке подверглись ресурсы Мосбиржи, Газпромбанка, Альфа-банка, ВТБ и оператора российской платежной системы «Мир» (Национальной системы платежных карт). Многих интересовал вопрос — как могло случиться, что крупнейшие игроки отрасли, этакие слоны финансового рынка, «легли» под атакой. Причем не на несколько минут — деградация или недоступность сервисов наблюдалась часами. Казалось бы, эти гиганты имеют огромные бюджеты на ИБ, с кибератаками сталкиваются постоянно и потому именно они должны быть максимально защищены от подобных угроз.

Дело в том, что хактивисты использовали тактику «ковровых атак». А при таких атаках как раз куда проще завалить «слона» финансового рынка, чем «мышку» в виде небольшого ломбарда или коллекторского агентства. Кроме того, и детектирование этих нападений, и защита существенно отличаются от привычных DDoS-атак. И если компания ранее не сталкивалась с подобными атаками, то шанс не замечать «ковровую бомбардировку» вплоть до наступления деградации и недоступности сервисов велик.

Итак, что же такое «ковровая атака»? Сам термин военный и означает непрерывное интенсивное бомбометание по значительным площадям. Помните, что случилось с Дрезденом во время второй мировой? Вот это оно. В случае ковровых DDoS-атак тот же принцип — вредоносный трафик направляется по всем IP-адресам атакуемой организации, сплошным «ковром». При этом мощность атаки, приходящаяся на один IP-адрес, может быть очень невысокой.

Приведу пример. Представим себе классическую DDoS-атаку на кредитную организацию условной мощностью 1 Гбит в секунду, когда весь вредоносный трафик направлен на конкретный ресурс/IP-адрес или группу IP-адресов банка. Если атакуемый канал меньшей емкости и не имеет защиты от DDoS-атак, от такой атаки он непременно «ляжет». Но если защищен, детектировать такую атаку достаточно легко — прилет на один адрес 1 Гбит/с «лишнего» трафика сложно не заметить. А когда легко выявить — легко защитить. Например, перенаправляя «паразитный» трафик по несуществующему маршруту (используя механизм blackhole).

При ковровой атаке на один IP-адрес кредитной организации может приходиться всего 1 Мбит/с вредоносного трафика. Это очень сложно детектировать, потому что такое повышение, если смотреть нагрузку на один IP-адрес, будет выглядеть как привычная фоновая нелегитимная активность. В интернете не бывает такого, чтобы мусорного трафика не было совсем — сервисы компаний сканируются, работают парсеры, «прилетают» пакеты, не связанные с конкретной компанией. Это нормальная история, так и должно быть, немного мусорного трафика — это просто погрешность. Если специально не детектировать ковровые атаки, анализируя каждый канал в отдельности, то этот 1 Мбит/с легко не заметить. А теперь давайте умножим этот 1 Мбит/с на тысячу IP-адресов, на десятки тысяч… Получается мощная атака, с которой к тому же сложнее бороться — если перенаправить весь вредоносный трафик по несуществующему маршруту, то это приведет к недоступности всех сервисов. То есть именно к тому, чего добиваются злоумышленники.

Чтобы положить банк, злоумышленникам не обязательно атаковать его напрямую. Вариант ковровой атаки на финансовые организации — атака через сервис-провайдеров: интернет- или облачных провайдеров, защитников от DDoS-атак и т. д. Например, если интернет-провайдер доставляет трафик по каналу, на котором есть защита от DDoS-атак, то весь трафик будет обрабатываться различными сетевыми устройствами (маршрутизаторами, коммутаторами и т. д.), и каждое из этих устройств имеет определенный ресурс по мощности. И цель атаки при атаке на сервис-провайдера — добиться, чтобы мощности устройств не хватило, и «железо» «легло». В итоге недоступность сервисов будет не только у конечной цели атаки (например, банка), но и, скорее всего, у других клиентов того же сервис-провайдера. Например, по этому принципу недавно были атакованы компании, работающие в Крыму: интересовали конкретные цели, но, зайдя через интернет-провайдеров, «положили» всех их клиентов. Кстати, при планировании атак через сервис-провайдеров злоумышленники нередко сразу указывают, кто является конечной целью.

В СМИ я видел упоминания о том, что ковровые атаки на финансовый сектор — это прямо новость, некоторые представители финансовой отрасли говорили о том же. Не соглашусь. Мы сталкивались с такими атаками на российские компании еще в 2020 году. И организованы они были вовсе не политически мотивированными хакерами, а вполне себе коммерческими, работающими за деньги. Так что тактика атак не нова. Что же касается атак хактивистов, то организованные ими «ковровые атаки» в отношении кредитных организаций мы видим тоже не впервые — мы их фиксировали еще в январе 2024 года. И есть все основания полагать, что ковровые атаки на финансовый сектор продолжатся. Злоумышленники уже делом доказали, что способны направлять мусорный трафик на тысячи IP-адресов одновременно, грамотно дирижируя ботнетом. И потому совет участникам финансового рынка лишь один — защищаться. Мы запомнили имена тех, кто «лег» под атакой. И никогда не узнаем о тех банках, кто благодаря грамотно выстроенной защите ковровые атаки даже не заметил.

Мнение редакции может не совпадать с точкой зрения автора